L’année 2022 est compliquée pour ceux qui disposent d’un NAS. En effet, les attaques se multiplient et aujourd’hui encore… Deadbolt est de retour sur les boîtiers QNAP. Si votre NAS est exposé sur Internet, nous vous recommandons de désactiver son accès et de contrôler qu’il soit bien à jour.
[edit] Mises à jour à la fin de l’article
Deadbolt et QNAP
Après une première attaque en janvier puis une seconde en mai, les NAS QNAP semblent de nouveau la cible de malware Deadbolt. Cette fois-ci, il semblerait que la faille utilisée serait le paquet Photo Station. En effet, sur les réseaux sociaux, il semble que les victimes avaient une version de QTS relativement récente. Le point commun des victimes serait Photo Station et bien sûr que le NAS était directement accessible depuis Internet. Cette information reste à confirmer.
Deadbolt est un malware de type ransomware (en français rançongiciel). Un groupe de hackers malintentionnés exploite une vulnérabilité sur les NAS accessibles depuis Internet. Une fois sur le NAS, les attaquants vont chiffrer les fichiers (encrypter) et ensuite demander une rançon. L’écran ci-dessous s’affiche et réclame le paiement de 0,05 bitcoin (environ 995 euros) à une adresse Bitcoin unique pour chaque victime.
Comme vous pouvez également le noter, il y a un nouveau bouton : News for DEADBOLT team.
Déconnectez votre NAS et attendez
Si votre NAS est accessible depuis Internet, le plus urgent est de couper cette connexion. On ne dit pas de débrancher physiquement NAS (quoique), mais de supprimer ou désactiver toutes les redirections de ports sur votre Box opérateur vers le boîtier.
Pour savoir si votre NAS QNAP est exposé sur Internet (et donc accessible en dehors de chez vous), ouvrez le Conseiller de Sécurité. Votre NAS est en danger s’il y a « Le service d’administration système peut être directement accessible à partir d’une adresse IP externe via les protocoles suivants : HTTP ».
Quelques conseils supplémentaires
On vous rappelons également quelques conseils :
- Désactivez l’UPnP sur le NAS ;
- Utilisez uniquement des connexions sécurisées comme HTTPS ;
- Désactivez les services de type Telnet et SSH lorsqu’ils ne sont pas utilisés ;
- Changez les ports externes par défaut (côté Internet), avec des ports personnalisés ;
- Installez QuFirewall et limitez les adresses IP autorisées (à la région France par exemple) ;
- Installez l’antivirus Malware Remover (gratuit depuis l’App Center) ;
- Désactivez le compte admin ;
- Utilisez des mots de passe forts ;
- Configurez l’authentification en 2 étapes ;
- Mettez à jour régulièrement le NAS et ses applications.
Sauvegarde 3 – 2 – 1
Enfin, la meilleure sécurité pour vos données importantes… c’est de mettre en place une stratégie de sauvegarde 3 – 2 – 1 : 3 copies de vos fichiers sur 2 supports différents, dont 1 sauvegarde hors site.
[edit 3 septembre] QNAP confirme que le problème vient de Photo Station (source). Le fabricant recommande d’utiliser QuMagie. Il ajoute : « Nous recommandons vivement que votre NAS QNAP ne soit pas directement connecté à Internet. Ceci afin de renforcer la sécurité de votre NAS de QNAP. Nous recommandons aux utilisateurs d’utiliser la fonction myQNAPcloud Link fournie par QNAP, ou d’activer le service VPN. Cela permet de renforcer efficacement le NAS et de réduire les risques d’attaque ».
[edit 4 septembre] QNAP a créé une QSA et son statut est affiché « Résolu » (source). Une mise à jour de Photo Station vient d’être mise en ligne, en date du 4/09.