DeadBolt : les NAS QNAP sont victimes d’une nouvelle attaque

Les NAS QNAP sont victimes d’une nouvelle attaque massive : DeadBolt. C’est la deuxième sur ce mois de janvier et il semble que personne ne soit à l’abri. Il s’agit encore une fois d’un ransomware. Nous vous recommandons de désactiver TOUS LES ACCÈS à votre NAS depuis Internet…

QNAP Deadbolt

DeadBolt

DeadBold un malware de type ransomware (rançongiciel en français). L’attaque est malheureusement assez classique. Un groupe de hackeurs mal-intentionnés exploiterait une vulnérabilité sur les NAS QNAP accessible depuis Internet. Cette dernière serait de type zero-day. Cela veut dire que la faille n’a fait l’objet d’aucune publication pour le moment ou qu’il n’y a aucun correctif connu.

Une fois rentrés dans le NAS, les attaquants vont s’empresser de chiffrer les données (encrypter) et demander une rançon. L’écran ci-dessous s’affiche et réclame le paiement de 0,03 bitcoin (environ 1000 euros) à une adresse Bitcoin unique pour chaque victime. Surtout NE PAYEZ PAS LA RANÇON. Cela encouragerait ces attaques et vous n’avez aucune garantie de recevoir la clé pour déchiffrer vos données.

Deadbolt qnap

Sur la même page, il y a un petit lien à destination de QNAP : « important message for QNAP ». Quand on clique dessus, une nouvelle page s’ouvre. Il est proposé à QNAP d’avoir les détails de la vulnérabilité, contre 5 bitcoins. Mais ce n’est pas tout… ils promettent de fournir la clé maître de déchiffrement pour un montant de 50 bitcoins (environ 1 694 000 euros).

 

Message Deadbolt QNAP

Déconnectez votre NAS et attendez

Comme nous l’avons vu par le passé, si votre NAS est accessible depuis Internet, le plus urgent est de couper cette connexion. On ne dit pas de le débrancher physiquement NAS, mais de supprimer ou désactiver toutes les redirections de ports sur votre Box opérateur.

Pour savoir si votre boitier QNAP est exposé à Internet, ouvrez le Conseiller de Sécurité. Votre NAS est exposé à Internet s’il est écrit « Le service d’administration système peut être directement accessible à partir d’une adresse IP externe via les protocoles suivants : HTTP ».

Quelques conseils supplémentaires

On vous remet ici quelques recommandations :

  • Utilisez des mots de passe forts ;
  • Désactivez le compte admin ;
  • Désactivez l’UPnP sur le NAS ;
  • Utilisez uniquement des connexions sécurisées comme HTTPS ;
  • Désactivez les services de type Telnet et SSH lorsqu’ils ne sont pas utilisés ;
  • Changez les ports externes par défaut (côté Internet), avec des ports personnalisés ;
  • Installez QuFirewall et limitez les adresses IP autorisées (à la région France par exemple) ;
  • Installez l’antivirus Malware Remover (gratuit depuis l’App Center) ;
  • Configurez l’authentification en 2 étapes ;
  • Mettez à jour régulièrement le NAS et ses applications.

Sauvegarde 3 – 2 – 1

Pour rappel, la meilleure sécurité pour vos données importantes… c’est de mettre en place une stratégie de sauvegarde 3 – 2 – 1 :

  • 3 copies d’un même fichier : la copie principale du fichier et deux autres sauvegardes ;
  • 2 supports différents : un NAS, un disque externe, un service en ligne (cloud)… ;
  • 1 sauvegarde hors site :  une sauvegarde devra être dans un cloud ou sur un disque hors de votre domicile (au bureau, dans votre famille).

Personne n’est à l’abri. Prenez le temps de la réflexion avant qu’il ne soit trop tard. Il serait dommage que tout disparaisse à la suite d’un incident : panne, piratage, vol, incendie… En informatique, le risque 0 n’existe pas et même cette stratégie n’est pas infaillible.

source