QNAP met en garde contre le nouveau ransomware Checkmate qui cible les périphériques NAS

Le fournisseur de solutions de stockage en réseau (NAS) QNAP a averti ses clients de sécuriser leurs appareils contre les attaques utilisant le ransomware Checkmate pour chiffrer les données.

Selon QNAP, les attaques se concentrent sur les appareils QNAP exposés à Internet et dont le service SMB est activé, ainsi que sur les comptes dont les mots de passe sont faibles et peuvent être facilement déchiffrés par des attaques par force brute.

“Un nouveau ransomware connu sous le nom de Checkmate a récemment été porté à notre attention”, a déclaré le fabricant de NAS dans un avis de sécurité publié jeudi.

“L’enquête préliminaire indique que Checkmate attaque via des services SMB exposés à l’internet, et emploie une attaque par dictionnaire pour casser les comptes avec des mots de passe faibles.”

Checkmate est une souche de ransomware récemment découverte, déployée pour la première fois dans des attaques autour du 28 mai, qui ajoute une extension .checkmate aux fichiers cryptés et dépose une note de rançon appelée !CHECKMATE_DECRYPTION_README.

Les attaquants demandent aux victimes de payer 15 000 dollars en bitcoins pour obtenir un décrypteur et une clé de décryptage.

Selon QNAP, les acteurs de la menace à l’origine de cette campagne se connecteront à distance aux appareils exposés à l’accès à distance à l’aide de comptes compromis lors d’attaques par dictionnaire.

Après avoir obtenu l’accès, ils commencent à crypter les fichiers dans les dossiers partagés (toutefois, les rapports des victimes indiquent que toutes les données sont cryptées).

Comment bloquer les attaques du ransomware Checkmate ?

La société a averti ses clients de ne pas exposer leurs appareils NAS à un accès Internet et d’utiliser un logiciel VPN pour réduire la surface d’attaque et bloquer les tentatives des acteurs de la menace de se connecter en utilisant des comptes compromis.

Les utilisateurs de QNAP ont également été invités à revoir immédiatement tous leurs comptes NAS et à s’assurer qu’ils utilisent des mots de passe forts, à sauvegarder leurs fichiers et à prendre régulièrement des instantanés de sauvegarde pour restaurer leurs données.

Vous devez également désactiver SMB 1 en vous connectant à QTS, QuTS hero ou QuTScloud, en allant dans Panneau de configuration > Réseau et fichiers > Win/Mac/NFS/WebDAV > Microsoft Networking, et en sélectionnant “SMB 2 ou supérieur” après avoir cliqué sur Options avancées.

QNAP recommande de mettre à jour le micrologiciel de votre périphérique NAS à la dernière version en se connectant à QTS, QuTS hero ou QuTScloud en tant qu’administrateur, et en cliquant sur “Vérifier la mise à jour” sous “Mise à jour en direct” dans Panneau de configuration > Système > Mise à jour du micrologiciel.

“Nous menons une enquête approfondie sur ce cas et nous fournirons des informations supplémentaires dès que possible”, a ajouté QNAP dans son avis d’aujourd’hui.

le ransomware ech0raix cible également les périphériques NAS vulnérables de QNAP depuis la mi-juin, selon les rapports des utilisateurs et les échantillons soumis par ID Ransomware.

Le mois dernier, QNAP a également déclaré qu’il menait une ” enquête approfondie ” sur une nouvelle série d’attaques utilisant le ransomware DeadBolt qui a débuté début juin.

Cet avertissement fait suite à plusieurs autres alertes publiées par QNAP [1, 2, 3], invitant les clients à maintenir leurs appareils à jour et à éviter de les exposer à un accès Internet.