Attaques de serveurs QNAP par le rançongiciel Checkmate

Le 7 juillet 2022, la société QNAP a publié un bulletin de sécurité concernant une série d’attaques contre ses serveurs de stockages en réseau par le rançongiciel Checkmate.

Checkmate

Dans ce bulletin, QNAP précise que ces attaques liées à Checkmate visent en particulier les appareils QNAP exposés sur Internet dont le service SMB est activé et dont les comptes sont configurés avec des mots de passe trop faibles. Ces appareils mal configurés peuvent en effet faire l’objet d’une attaque par force brute et voir leurs données chiffrées après compromission de la machine par le rançongiciel.

Checkmate est une souche de rançongiciel récemment découverte, déployée pour la première fois lors d'attaques aux alentours du 28 mai 2022. La particularité de ce rançongiciel est d’ajouter une extension .checkmate aux fichiers chiffrés et de déposer une note de rançon nommée !CHECKMATE_DECRYPTION_README. Selon les fichiers de rançon publiés par BleepingComputer, cette rançon s’élèverait à 15000$.

Chekmate
Figure 1 - Note de rançon Checkmate (source : BleepingComputer)

Mesures de protection

Le fournisseur de solution de stockage QNAP a publié des mesures de protection visant à diminuer les risques de compromission :

  • Réduire l’exposition à Internet des appareils NAS et utiliser un logiciel VPN pour limiter la surface d’attaque ;
  • Mettre à jour les comptes NAS avec des mots de passe forts ;
  • Assurer une sauvegarde régulière des données ;
  • Désactiver SMB 1 en se connectant à QTS, QuTS hero ou QuTScloud, en accédant à Panneau de configuration > Réseau et fichier > Win/Mac/NFS/WebDAV > Réseaux Microsoft et en sélectionnant « SMB 2 ou supérieur » après avoir cliqué sur Options avancées ;
  • Mettre à jour le micrologiciel de l’appareil NAS vers la dernière version en se connectant à QTS, QuTS hero ou QuTScloud en tant qu'administrateur, et en appuyant sur « Vérifier les mises à jour » sous « Mise à jour en direct » depuis Panneau de configuration > Système > Mise à jour du micrologiciel.

Précédemment, QNAP avait déjà publié des mises en garde contre l’exposition de ses appareils à Internet. Ces derniers avaient déjà été ciblés en juin 2022 par une série d’attaques des rançongiciels DeadBolt et ech0raix.