Attaques de QNAP NAS par le rançongiciel DeadBolt

Le 3 septembre 2022, la société QNAP a publié un bulletin de sécurité concernant une série d’attaques contre des appareils QNAP NAS par le rançongiciel DeadBolt.

DeadBolt

Dans ce bulletin, QNAP précise que ces attaques liées à DeadBolt visent en particulier les appareils QNAP NAS exposés sur Internet, dont le module Photo Station n’est pas mis à jour. Ces appareils sont vulnérables à une 0-day (CVE-2022-27593) qui a été corrigée 12h après le début des attaques.

Le DeadboltRansomware gang vise les appareils NAS depuis janvier 2022 avec des campagnes en juin et septembre. Dès lors que le système est compromis, le groupe demande une rançon d’un peu plus de $1000 à leurs victimes en échange du logiciel de déchiffrement.

Note de Rançon
Figure 1 - Note de rançon et le logiciel de déchiffrement DeadBolt (source : BleepingComputer)

Mesures de protection

Des mises à jour QNAP corrigeant les vulnérabilités ont été publiées. Il est donc conseillé de mettre à jour Photo Station vers les versions :

  • Pour QTS 5.0.1: mettre à jour Photo Station vers la version 6.1.2 ou une version supérieure
  • Pour QTS 5.0.0/4.5.x: mettre à jour Photo Station vers la version 6.0.22 ou une version supérieure
  • Pour QTS 4.3.6: mettre à jour Photo Station vers la version 5.7.18 ou une version supérieure
  • Pour QTS 4.3.3: mettre à jour Photo Station vers la version 5.4.15 ou une version supérieure
  • Pour QTS 4.2.6: mettre à jour Photo Station vers la version 5.2.14 ou une version supérieure

Le fournisseur de solution de stockage QNAP propose aussi d’autres mesures de protection visant à diminuer les risques de compromission. Voici les principales :

  • Réduire l’exposition sur Internet des appareils NAS et d’utiliser myQNAPcloud ou un VPN pour permettre l’accès à distance ;
  • Mettre à jour les comptes NAS avec des mots de passe forts ;
  • Assurer une sauvegarde régulière des données ;
  • Remplacer Photo Station par QuMagie, une option plus sécurisée de stocker des photos pour des appareils QNAP NAS.

 

Précédemment, QNAP avait publié des mises en garde contre l’exposition de ses appareils à Internet. Ces derniers avaient déjà été ciblés en juin 2022 par une série d’attaques des rançongiciels ech0raix et en juillet par Checkmate.

 

Pour rappel, le CERT Santé a publié un plan d’action préventif pour réduire le risque d’une compromission massive de domaines Windows et de sauvegardes en cas d’attaques par rançongiciel (voir le lien en référence).