Ransomware visant les NAS : coup de filet en Roumanie
L’Office anti-cybercriminalité vient d’annoncer l’interpellation de 5 personnes, en Roumanie, impliquées dans des cyberattaques avec rançongiciel visant les systèmes de stockage en réseau (NAS).
C’est Nicolas Guidoux, chef de l’Office anti-cybercriminalité (Ofac), qui l’annonce lui-même sur LinkedIn : « le 4 juin 2024, 5 personnes ont été entendues par l’Ofac en Roumanie sur une demande d’entraide européenne diligentée par un juge d’instruction dans une affaire de cyberattaque contre des NAS ».
L’enquête avait commencé en juillet 2021, explique-t-il, « à la suite d’une attaque informatique du rançongiciel Umbrella Security (connu également sous les noms Diskstation Security, Quick Security, et 7even Security) ».
« Grâce à la centralisation des faits réalisée par l’Ofac, ce sont 35 victimes qui ont déposé plainte pour les mêmes faits sur l’ensemble du territoire, dont 6 particuliers. »
Nicolas GuidouxChef de l’Office anti-cybercriminalité (Ofac)
La victime à l’origine de cette enquête était « une entreprise implantée en Haute-Garonne ». Mais « grâce à la centralisation des faits réalisée par l’Ofac, ce sont 35 victimes qui ont déposé plainte pour les mêmes faits sur l’ensemble du territoire, dont 6 particuliers », relate-t-il.
Le préjudice total « est estimé à près d’un million d’euros » et « plus de 1000 clés de déchiffrement ont été retrouvées ». L’enquête s’est notamment appuyée sur « les différentes adresses mail communiquées dans les notes de rançon et le suivi des paiements en bitcoins ».
En avril 2021, Otago Productions avait publiquement déploré une telle attaque, contre un NAS, avec un ransomware. Et ce n’était pas un cas exceptionnel. Les familles de rançongiciel touchant les NAS sont nombreuses : Synolocker, eCh0raix (aussi appelé QNAPCrypt), Muhstik, PureLocker, Qlocker, Checkmate, AgeLocker, StorageCrypt, QSnatch, Decryptiomega, Cr1ptT0r, Deadbolt, etc.
La famille 7even n’est accessoirement pas un ransomware à proprement parler : les fichiers pris en otage par les cybercriminels sont empaquetés dans des archives Zip protégées par mot de passe.
L’exposition directe, sur Internet, des services d’un NAS est un élément de confort pour les utilisateurs qui facilite grandement les cyberattaques contre ces systèmes. Et soit via l’exploitation de vulnérabilités pour lesquelles les correctifs n’auraient pas été appliqués – ou ne seraient pas encore disponibles –, soit via la compromission de comptes à privilèges élevés non protégés par une authentification forte.
Parmi les recommandations courantes de sécurisation des NAS pour l’accès distanciel à leurs ressources, on compte le recours à un VPN, voire à un système tel que Tailscale – basé sur WireGuard – afin de réduire le nombre de services directement exposés sur Internet.
