Au début, nous pensions que les attaques récentes avaient exploité une vulnérabilité logicielle inconnue dans les produits de Synology, mais selon la société, il a été établi depuis que la méthode des attaquants était beaucoup plus simple mais toujours aussi efficace et consistait à attaquer par force brute les identifiants administrateur.
Ken Lee, responsable de l’équipe de réponse aux incidents de sécurité de Synology, a écrit :
Nous croyons que c’est une attaque organisée. Après une enquête approfondie sur cette affaire, nous avons constaté que l’attaquant utilisait des adresses de botnet pour masquer la véritable IP source.
Repérée le 19 juillet 2019, cette attaque de ransomware consiste à essayer de nombreux mots de passe couramment utilisés au niveau des boîtiers NAS connectés à Internet. Les attaquants espèrent trouver un mot de passe leur permettant d’obtenir l’accès nécessaire au chiffrement des données.
Le premier symptôme de la réussite d’une telle opération sera une demande de rançon dans un fichier ‘Lisez-moi’, exigeant généralement des milliers d’euros en bitcoin pour déchiffrer les données.
Hormis les techniques utilisées pour masquer l’adresse IP source, il ne s’agit pas d’une attaque complexe. C’est une bonne nouvelle car cela signifie qu’il est facile de se défendre, à partir du moment où les propriétaires auront vérifié et activé les paramètres de sécurité spécifiques (voir ci-dessous).
Malheureusement, cela signifie également qu’il n’est pas difficile non plus de compromettre un boîtier NAS (Network Attached Storage) faiblement protégé, ce qui a conduit un certain nombre d’utilisateurs à se retrouver dans des situations de lock-out concernant de gros volumes de données.
Avertissement : cette campagne ne cible pas uniquement les boîtiers Synology NAS. En effet, les mêmes techniques sont également utilisées pour cibler les produits d’autres fournisseurs.
Dans d’autres incidents récents touchant un autre fournisseur NAS, QNAP, en juillet dernier, le ransomware impliqué était eCh0raix (probablement le coupable de la dernière campagne Synology). Vous pouvez en savoir davantage sur ce dernier en consultant le site de la société de sécurité qui l’avait remarqué en premier.
Quoi faire ?
Synology répertorie un certain nombre de défenses de base, en commençant par la nécessité de définir un mot de passe administrateur long et complexe (les attaques par force brute réussissent lorsqu’ils sont simples et courts) avant de faire de même pour toutes les autres personnes accédant aux données de l’appareil.
Le moyen le plus simple de s’assurer que cela a été fait sur un Synology NAS consiste à activer le paramètre “Forcer les utilisateurs à modifier les mots de passe après que l’administrateur a réinitialisé le mot de passe” au niveau de la console de gestion.
Un deuxième paramètre est l’”application des critères de force du mot de passe” après avoir décidé ce que cela signifiait exactement (par exemple, obliger les utilisateurs à inclure des majuscules/minuscules, des caractères spéciaux, des chiffres tout en excluant les noms et les descriptions d’utilisateurs).
Synology recommande également :
- La création d’un nouveau compte dans le groupe administrateur et la désactivation du compte “admin”.
- Activer le blocage automatique (Auto Block) dans le Panneau de configuration pour bloquer les adresses IP avec trop de tentatives de connexion infructueuses.
- L’exécution de Security Advisor pour vous assurer qu’il n’y a pas de mots de passe faibles dans le système.
- Activer le pare-feu dans le Panneau de configuration tout en n’autorisant les ports ouverts publiquement que lorsque cela est nécessaire.
- Enfin, l’activation de la vérification en deux étapes (2SV).
- Sur la base des conseils généraux de Synology, la gestion de versions multiples dans le cloud devrait permettre aux défenseurs de revenir aux versions identiques ou antérieures des mêmes fichiers. Ou, mieux encore, effectuez des sauvegardes hors ligne régulières.
Sur le plan de l’accès à distance, assurez-vous qu’il n’est pas activé via RDP alors qu’il ne devrait pas l’être, ou mieux encore ne l’autorisez pas du tout.
Sophos a récemment documenté de nombreuses attaques visant RDP et donné des conseils sur la sécurisation de ce protocole au niveau d’une gamme de services, y compris les boîtiers NAS (Network Attached Storage).
N’oubliez pas que les attaques menées via le ransomware NAS, décrites ici, s’appuient pour réussir sur un accès à distance faiblement sécurisé. Fermez donc la porte d’entrée et vous aurez bloqué l’accès.
Nous vous invitons à lire, sans plus attendre, le rapport sur les menaces des SophosLabs 2019, dans lequel les chercheurs de Sophos analysent la situation actuelle de la cybercriminalité, notamment en matière de ransomwares.
Enfin, visitez sophos.com pour en savoir plus sur les technologies anti-ransomware, et en particulier sur notre solution Sophos Intercept X.
Billet inspiré de NAS targeted by brute force ransomware attacks, sur Sophos nakedsecurity.