Attaques par ransomware sur les appliances NAS
<> Les créateurs de ransomware connaissent bien les noms d’utilisateur et mots de passe administrateur par défaut des différentes appliances NAS. Administrator ou admin sont les noms d’utilisateur les plus courants pour les comptes administrateur. Si le nom d’utilisateur et le mot de passe ne sont pas modifiés sur une appliance, les pirates peuvent facilement accéder au NAS. Lorsque les utilisateurs administrateurs définissent leurs propres mots de passe, les pirates peuvent utiliser des outils automatisés pour mener des attaques par force brute et des dictionnaires pour deviner le mot de passe et obtenir un accès complet à l’appliance NAS. Dans la plupart des cas, vous ne pouvez pas supprimer un compte administrateur intégré sur une appliance NAS. La meilleure chose à faire est de créer un nouveau compte utilisateur sur votre appliance NAS et de définir un nom d’utilisateur et un mot de passe forts, difficiles à deviner. Ajoutez ensuite toutes les autorisations administratives pour ce compte (toutes les autorisations disponibles pour le compte ADMIN par défaut). Une fois cette opération terminée, désactivez le compte ADMIN par défaut sur votre NAS. Vous pouvez créer des comptes pour les utilisateurs qui accèdent directement aux données partagées sur le NAS, ou vous pouvez joindre votre NAS au domaine Active Directory et utiliser les comptes utilisateurs Active Directory pour partager des dossiers et y accéder. Veillez à utiliser des mots de passe forts pour les utilisateurs qui accèdent aux données partagées. Un mot de passe fort contient au moins 8 caractères, dont des lettres majuscules, des lettres minuscules, des chiffres et des caractères spéciaux (tels que %, $ & #). Les données stockées sur un NAS peuvent être cryptées par du ransomware si un utilisateur dispose d’un accès en écriture depuis un ordinateur infecté à un dossier partagé sur le NAS. Les données accessibles sur le NAS peuvent également être cryptées par du ransomware. Une bonne option pour éviter ce type de scénario consiste à utiliser un compte utilisateur distinct, c’est-à-dire un compte différent de celui utilisé pour se connecter à Windows, sans enregistrer les mots de passe sur l’ordinateur Windows. Dans ce cas, l’utilisateur devra saisir ses identifiants de connexion pour accéder à un dossier partagé après chaque connexion à Windows. Il est plus difficile d’accéder aux données d’un dossier partagé situé sur un NAS et de les chiffrer si l’utilisateur n’a pas saisi ses identifiants de connexion pour ouvrir le dossier partagé. La protection contre les ransomwares est encore améliorée si le mot de passe est fort, car certains ransomwares peuvent utiliser de petits dictionnaires contenant des mots de passe courants pour deviner un mot de passe et obtenir l’accès. Une autre bonne pratique consiste à définir différents niveaux d’accès pour différentes catégories d’utilisateurs. Les utilisateurs qui ont besoin d’un accès en lecture seule ne doivent pas disposer de droits d’écriture afin de renforcer encore la sécurité. Si votre NAS doit être accessible depuis des réseaux externes ou Internet, configurez correctement le pare-feu de votre passerelle afin de n’autoriser l’accès qu’à partir d’adresses IP fiables. Vous empêcherez ainsi les pirates de scanner et de détecter votre appliance NAS sur Internet. La meilleure option consiste à placer votre NAS derrière un pare-feu NAT. Il existe deux approches pour autoriser l’accès aux utilisateurs extérieurs à votre réseau : la redirection de port et un réseau virtuel (VPN). Si vous utilisez la redirection de port pour accéder à votre NAS à partir de réseaux externes, utilisez des numéros de port personnalisés (non standard) pour les protocoles utilisés pour accéder aux données. Par exemple, utilisez le port TCP 8122 au lieu du port 22. Les pirates informatiques scannent généralement les ports standard pour détecter les ports ouverts et lancer des attaques par force brute/dictionnaire afin de compromettre les comptes et d’accéder au NAS. Cependant, des scanners qui analysent tous les ports peuvent également être utilisés pour trouver des ports ouverts. Autorisez l’accès à votre NAS en ouvrant uniquement les ports nécessaires au lieu de tous les ports. Par exemple, si vous utilisez SMB pour transférer des fichiers sur un réseau local et SFTP pour transférer des fichiers sur un réseau étendu, désactivez les autres services et protocoles de fichiers inutilisés. Optez pour la dernière version du protocole SMB (CIFS) dans les réseaux locaux en raison de son niveau de sécurité plus élevé. Vous devez également désactiver la connectivité à distance. Sur Synology NAS, désactivez la fonctionnalité Quick Connect qui permet de se connecter au NAS à partir de n’importe quelle adresse IP WAN sans configurer la redirection de port. La désactivation de cette fonctionnalité réduit le nombre de moyens de connexion au NAS, ce qui diminue le risque que le NAS soit compromis et que les données soient cryptées par du ransomware. Protégez votre réseau, vos ordinateurs et les autres appliances connectées au réseau. Si vous utilisez votre NAS uniquement pour stocker des sauvegardes sur site, désactivez les connexions à votre NAS à partir de réseaux externes. Si votre NAS dispose d’un pare-feu intégré, vous pouvez activer uniquement les connexions provenant des adresses IP des serveurs sur lesquels les données sont régulièrement sauvergardées. Les appliances NAS sont équipées d’un micrologiciel ou d’un système d’exploitation spécial adapté au fonctionnement des NAS. Les ransomwares peuvent exploiter les failles de sécurité des logiciels pour infecter une appliance et crypter des fichiers. Les systèmes d’exploitation installés sur les appliances NAS ne font pas exception. Mettez régulièrement à jour le micrologiciel (systèmes d’exploitation) et les applications du NAS afin d’installer les derniers correctifs de sécurité qui corrigent les vulnérabilités logicielles découvertes sur le NAS. L’installation de mises à jour de sécurité réduit le risque d’attaques par ransomware sur les appliances NAS. Les mises à jour automatiques peuvent être utiles dans ce cas. Remarque : Les récentes attaques de ransomware impliquant le ransomware eCh0raix ont utilisé la force brute et les vulnérabilités logicielles pour cibler les appliances NAS QNAP qui ne sont pas corrigées. Les utilisateurs qui utilisaient des identifiants de connexion faibles et des logiciels non mis à jour ont été attaqués par eCh0raix. Les dernières attaques par ransomware ciblant les appliances NAS incluaient également AgeLocker et QSnatch. De nombreuses appliances NAS disposent de paramètres de sécurité intégrés qui sont utiles pour la protection contre les ransomwares. L’option de blocage automatique est utilisée pour empêcher les attaques par force brute visant à accéder au NAS. Configurez le logiciel NAS pour bloquer les adresses IP from lesquelles trop de tentatives de connexion sont détectées. Activez la journalisation pour détecter les tentatives de connexion infructueuses. La configuration de la protection des comptes vous permet de bloquer l’option de connexion pendant une durée appropriée après X tentatives de connexion infructueuses pendant XX minutes. La protection contre les accès non autorisés réduit la probabilité d’attaques par ransomware ciblant les appliances NAS. Activez la protection DDoS si votre appliance NAS est exposée à Internet. Cette option protège les appliances NAS contre les attaques par déni de service distribué, qui sont conçues pour perturber les services en ligne. Utilisez toujours des connexions cryptées pour accéder à votre appliance NAS. Activez SSL pour les connexions afin d’utiliser le protocole HTTPS au lieu du protocole HTTP pour accéder à l’interface Web du NAS. Si vous partagez des fichiers avec des utilisateurs externes, utilisez SFTP ou FTPS au lieu de FTP, car le protocole FTP classique ne prend pas en charge le chiffrement. Lorsque vous utilisez des protocoles réseau sans chiffrement, un tiers peut intercepter les données transférées sur le réseau. Les mots de passe sont transférés en texte clair lorsque vous utilisez une connexion non sécurisée et non chiffrée. Utilisez SSH et non Telnet pour gérer votre NAS dans l’interface de ligne de commande. Une protection efficace contre les ransomwares implique un ensemble complet de mesures pour toutes les appliances connectées à vos réseaux. Même un seul appareil non protégé peut servir de point d’entrée pour un ransomware. Mettez à jour le micrologiciel de toutes les appliances, installez des correctifs de sécurité sur toutes les machines. Configurez la protection des e-mails à l’aide de filtres anti-spam, car les e-mails de spam et de phishing sont les méthodes d’infection par ransomware les plus courantes. Configurez la Surveillance afin de détecter dès que possible une cyberattaque par ransomware et d’empêcher le chiffrement des fichiers et la propagation du ransomware. Sauvegardez vos données Les cybercriminels recherchent de nouvelles vulnérabilités et améliorent leurs techniques d’attaque afin de s’en prendre aux utilisateurs et de chiffrer leurs données. Les attaques par ransomware deviennent de plus en plus sophistiquées. C’est pourquoi vous devez sauvegarder vos données régulièrement. Disposer d’une sauvegarde vous permet de restaurer vos données rapidement en cas d’attaque par ransomware ou d’autres catastrophes entraînant une perte de données. Les appliances NAS sont généralement utilisées comme destinations de sauvegarde, mais elles peuvent également être la cible de ransomware. C’est pourquoi vous devez créer des copies de sauvegarde en suivant la règle de sauvegarde 3-2-1 >. Sauvegardez régulièrement vos données et créez plusieurs copies de sauvegarde. Si vos fichiers ont été cryptés par un ransomware, ne payez pas la rançon, car cela incite les cybercriminels à lancer davantage d’attaques. NAKIVO Backup & Replication est une solution universelle de protection des données qui peut être installée sur un NAS et qui permet de sauvegarder vos données sur un NAS et d’autres supports de stockage, y compris la création de copies de sauvegarde sur bande magnétique et dans le cloud. NAKIVO Backup & Replication prend en charge la sauvegarde des machines virtuelles VMware vSphere, Microsoft Hyper-V, des instances Amazon EC2, des machines Linux, des machines Windows, Microsoft 365 et des bases de données Oracle. Vous pouvez découvrir les différentes fonctionnalités de NAKIVO Backup & Replication en téléchargeant simplement l’Édition gratuite. La version gratuite vous permet de protéger gratuitement 10 Workloads et 5 comptes Microsoft 365 pendant un an ! Lisez d’autres articles de blog sur les ransomwares pour en savoir plus sur la récupération après une attaque de ransomware, la propagation des ransomwares et leur enlevement. Avec la popularité croissante des appliances NAS, les ransomwares ciblant les appliances NAS sont malheureusement également en augmentation. Afin de protéger les appliances NAS contre les attaques de ransomwares, vous devez mettre en œuvre un ensemble complet de mesures. Définissez des mots de passe forts, configurez un pare-feu, configurez les autorisations, protégez les logiciels sur le NAS et sur les autres ordinateurs de votre réseau, installez régulièrement des correctifs de sécurité. Configurez le filtrage des e-mails sur les serveurs de messagerie de votre organisation afin de protéger les utilisateurs contre les spams et les e-mails de phishing. Mais surtout, veillez à sauvergarder régulièrement vos données afin de pouvoir réaliser la récupération après un incident lié au ransomware.
Modifier les identifiants de connexion sur le NAS
Configurer le pare-feu
Mettre à jour le micrologiciel
Configurer les paramètres de sécurité
Utilisez une connexion sécurisée
Protégez l’ensemble de l’environnement
Sauvegardez vos données
Conclusion
