Le ransomware DeadBolt s’en prend encore aux NAS QNAP !
QNAP alerte ses utilisateurs : une nouvelle vague d'attaques est en cours avec le ransomware DeadBolt ! Il est impératif de mettre à jour son NAS dès que possible !
Dans son nouveau bulletin de sécurité, QNAP précise : "QNAP demande instamment à tous les utilisateurs de NAS de vérifier et de mettre à jour QTS à la dernière version dès que possible, et d'éviter d'exposer leur NAS à l'Internet.". D'après l'équipe de réponse à incident de QNAP, cette nouvelle vague d'attaques cible principalement les NAS des séries TS-x51 et TS-x53, et les versions du système suivantes : QTS 4.3.6 et QTS 4.4.1.
Ces derniers mois, les NAS QNAP sont régulièrement la cible du ransomware DeadBolt et les vagues d'attaques sont assez fréquentes : c'est la troisième depuis le début de l'année 2022. Entre temps, le ransomware DeadBolt s'en est pris également aux NAS ASUSTOR.
Lors des précédentes vagues d'attaques, la rançon demandée était de 0,03 bitcoin sur chaque NAS, ce qui représente environ 850 euros. Pour un particulier, c'est une somme qui est loin d'être négligeable. À ce jour, le ransomware DeadBolt a chiffré les données de plusieurs milliers de NAS QNAP, dont environ 5000 en janvier 2022 et 1000 en mars 2022.
Lorsqu'un NAS est victime du ransomware DeadBolt, les fichiers chiffrés utilisent l'extension .deadbolt. En complément, la page d'accueil de l'interface du NAS (c'est-à-dire le fichier /home/httpd/index.html) est remplacée par une page qui donne les instructions permettant à l'utilisateur de régler la fameuse rançon aux pirates informatiques.
Voici à quoi ressemble cette page :
Au-delà de mettre à jour votre NAS, si vous ne souhaitez pas qu'il soit accessible depuis Internet, vous devez désactiver toutes les règles de redirection de port à destination de votre NAS et créé sur votre routeur. Potentiellement, vous avez pu créer ces règles via l'interface du NAS grâce au protocole UPnP, qu'il est recommandé de désactiver.
Utilisateurs de NAS QNAP, à vos mises à jour !
