NAS : DeadBolt allonge la liste des menaces sur les systèmes QNAP

Qlocker et eCh0raix ne suffisaient pas. DeadBolt s’ajoute à la liste des ransomwares destinés aux systèmes de stockage en réseau de marque QNAP. Les victimes ont déjà commencé à se multiplier, y compris en France.

par

Valéry Rieß-Marchive, Rédacteur en chef

Publié le: 28 janv. 2022

Ce 26 janvier, QNAP sonnait le tocsin : un nouveau ransomware vise les systèmes de stockage en réseau (NAS) à sa marque. Baptisé DeadBolt, il vise les systèmes exposés directement sur Internet et n’ayant pas été préalablement sécurisés de manière appropriée. Nous avons eu vent de plusieurs petites structures françaises touchées ce jeudi 27 janvier.

Dans une note d’information, QNAP enjoint ses clients à ouvrir le module Conseiller de Sécurité sur leur NAS, et à en suivre au plus vite les recommandations. Le constructeur explique également comment configurer son routeur et ajuster celle de son NAS afin d’en arrêter l’exposition sur Internet.

Mais la liste des victimes n’en est pas moins déjà en train de s’allonger. Le moteur de recherche spécialisé Censys en compte près de 4 000 à travers le monde. De son côté, Shodan en connaît près de 80 en France, avec une majorité d’adresses IP renvoyant à Paris. Mais pour Censys, il faut en fait compter avec au moins 270 systèmes QNAP touchés dans l’Hexagone.

Le groupe aux commandes de ce nouveau ransomware demande une rançon de 0,03 bitcoin à chacune de ses victimes. Il demanderait également 50 bitcoins à QNAP en échange d’une clé de déchiffrement universelle pour l’ensemble de ses clients, et 5 bitcoins pour les détails d’une soi-disant vulnérabilité inédite (zero-day) exploitée dans cette campagne d’attaques. De son côté, QNAP aurait commencé à pousser à ses clients une mise à jour visant à les protéger de DeadBolt.

Here is some map related to the compromised #QNAPs by the #Deadbolt #ransomware. Most of them are 5.0.0 (77.95%) and 4.5.4 (21.50%) + few 4.5.3 (0.57%) - data from this morning pic.twitter.com/Adgy9KJRK7
— Félix Aimé (@felixaime) January 27, 2022

Ce n’est pas la première fois que les utilisateurs de systèmes de stockage QNAP sont visés par une campagne de cyberattaques avec un rançongiciel. L’an dernier, le constructeur avait ainsi alerté contre les ransomwares AgeLocker, eCh0raix, ou encore Qlocker.

Et une nouvelle campagne Qlocker est active depuis le début du mois de janvier. Nous avons notamment constaté deux appels à l’aide de TPE/PME françaises, sur les réseaux sociaux, au cours des dernières semaines. Des victimes de Qlocker dans les deux cas.

NAS : DeadBolt allonge la liste des menaces sur les systèmes QNAP

Qlocker et eCh0raix ne suffisaient pas. DeadBolt s’ajoute à la liste des ransomwares destinés aux systèmes de stockage en réseau de marque QNAP. Les victimes ont déjà commencé à se multiplier, y compris en France.

Pour approfondir sur Menaces, Ransomwares, DDoS

Cyberattaque : pourquoi porter plainte, c’est bien (y compris pour soi)

Ransomware : où en est la campagne ESXiArgs après deux semaines ?

Vague d’attaques contre les serveurs ESXi : un script pour automatiser la récupération

Ransomware : des milliers de serveurs VMware ESXi pris dans une vaste campagne