Les dispositifs NAS sont largement utilisés tant par les particuliers que par les entreprises pour stocker de grandes quantités de données accessibles via un réseau. Il est également très pratique d’utiliser un NAS comme stockage pour les sauvegardes et, dans de nombreux cas, les dispositifs NAS sont connectés à Internet. C’est pourquoi les dispositifs NAS sont des cibles courantes pour les cybercriminels. Certaines versions de rançongiciels sont spécifiquement conçues pour cibler les NAS.
Cependant, les fichiers stockés sur un NAS peuvent être chiffrés et corrompus par n’importe quel rançongiciel si un ordinateur du réseau est infecté et a accès au NAS. Cela peut surprendre de nombreux utilisateurs, qui pensent que le NAS est fiable et invulnérable par défaut. Cet article de blog explique comment vous pouvez protéger un NAS contre les attaques de rançongiciels. L’ensemble des mesures de sécurité comprend des mesures anti-rançongiciels générales en plus de mesures spécifiques aux NAS.
Modifier les identifiants sur le NAS
Les créateurs de rançongiciels sont bien conscients des noms d’utilisateur et des mots de passe administrateur par défaut sur différents dispositifs NAS. Administrateur ou admin sont les noms d’utilisateur les plus populaires pour les comptes administrateur. Si le nom d’utilisateur et le mot de passe ne sont pas modifiés sur un appareil, les attaquants peuvent facilement accéder au NAS. Lorsque les utilisateurs administrateurs définissent leurs propres mots de passe, les attaquants peuvent utiliser des outils automatisés pour mener des attaques par force brute et des dictionnaires pour deviner le mot de passe afin d’obtenir un accès complet au NAS.
Dans la plupart des cas, vous ne pouvez pas supprimer un compte administrateur intégré sur un appareil NAS. La meilleure chose à faire est de créer un nouveau compte utilisateur sur votre NAS et de définir un nom d’utilisateur et un mot de passe solides difficiles à deviner. Ensuite, ajoutez toutes les autorisations administratives pour ce compte (toutes les autorisations disponibles pour le compte administrateur par défaut). Lorsque vous avez terminé, désactivez le compte administrateur par défaut sur votre NAS.
Vous pouvez créer des comptes pour les utilisateurs qui accèdent directement aux données partagées sur le NAS, ou vous pouvez joindre votre NAS au domaine Active Directory et utiliser les comptes d’utilisateurs Active Directory pour partager des dossiers et y accéder.
Assurez-vous d’utiliser des mots de passe solides pour les utilisateurs qui accèdent aux données partagées. Un mot de passe fort contient au moins 8 caractères comprenant des lettres majuscules, des lettres minuscules, des chiffres et des caractères spéciaux (comme %, $ & #).
Les données sur un NAS peuvent être cryptées par des ransomwares si un utilisateur a un accès en écriture à partir d’un ordinateur infecté vers un dossier partagé sur le NAS. Les données accessibles sur le NAS peuvent également être cryptées par des ransomwares.
A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.
Une autre bonne pratique est de définir différents niveaux d’accès pour différentes catégories d’utilisateurs. Les utilisateurs qui nécessitent un accès en lecture seule ne doivent pas avoir de permissions d’écriture pour renforcer la sécurité.
Configurer le pare-feu
Si votre NAS doit être accessible depuis des réseaux externes ou Internet, configurez correctement le pare-feu sur votre passerelle pour n’autoriser l’accès qu’à partir d’adresses IP de confiance. De cette façon, vous empêchez les attaquants de scanner et de détecter votre appareil NAS sur Internet. La meilleure option est de placer votre NAS derrière un pare-feu NAT.
Il existe deux approches pour permettre l’accès aux utilisateurs extérieurs à votre réseau : le transfert de port et un réseau privé virtuel (VPN). Si vous utilisez le transfert de port pour accéder à votre NAS depuis des réseaux externes, utilisez des numéros de port personnalisés (non standard) pour les protocoles utilisés pour accéder aux données. Par exemple, utilisez le port TCP 8122 au lieu du 22. Les attaquants scannent généralement les ports standard pour détecter les ports ouverts et commencer des attaques par force brute/dictionnaire pour compromettre les comptes et accéder au NAS. Cependant, des scanners qui scannent tous les ports peuvent également être utilisés pour trouver des ports ouverts.
Permettez l’accès à votre NAS en ouvrant uniquement les ports nécessaires au lieu de tous les ports. Par exemple, si vous utilisez SMB pour transférer des fichiers via LAN et SFTP pour transférer des fichiers via WAN, désactivez les autres services et protocoles de fichiers inutilisés. Optez pour l’utilisation de la dernière version du protocole SMB (CIFS) dans les réseaux locaux en raison du niveau de sécurité plus élevé.
Vous devriez également désactiver la connectivité à distance. Sur les NAS Synology, désactivez la fonction Quick Connect destinée à se connecter au NAS depuis n’importe quelle adresse IP WAN sans configurer le transfert de port. La désactivation de cette fonction réduit le nombre de façons de se connecter au NAS, réduisant ainsi les risques de compromission du NAS et de cryptage des données par des logiciels de rançon.
Protégez votre réseau, vos ordinateurs et autres appareils connectés au réseau. Si vous utilisez votre NAS uniquement pour stocker des sauvegardes sur site, désactivez les connexions vers votre NAS depuis des réseaux externes. S’il y a un pare-feu intégré sur votre NAS, vous pouvez autoriser les connexions uniquement depuis les adresses IP des serveurs sur lesquels les données sont régulièrement sauvegardées.
Mettre à jour le micrologiciel
Les appareils NAS disposent d’un micrologiciel ou d’un système d’exploitation spécial adopté pour fonctionner sur un NAS. Les ransomwares peuvent exploiter les vulnérabilités de sécurité des logiciels pour infecter un appareil et crypter des fichiers. Et les systèmes d’exploitation installés sur les appareils NAS ne font pas exception. Mettez régulièrement à jour le micrologiciel du NAS (systèmes d’exploitation) et les applications pour installer les derniers correctifs de sécurité qui corrigent les vulnérabilités des logiciels NAS découvertes. L’installation des mises à jour de sécurité réduit le risque d’attaques de ransomware sur les appareils NAS. Les mises à jour automatiques peuvent être utiles dans ce cas.
Remarque : Les récentes attaques de ransomware impliquant le ransomware eCh0raix ont utilisé la force brute et les vulnérabilités des logiciels pour cibler les appareils NAS QNAP non patchés. Les utilisateurs qui utilisaient des identifiants faibles et des logiciels non patchés ont été attaqués par eCh0raix. Les dernières attaques de ransomware ciblant les appareils NAS incluaient également AgeLocker et QSnatch.
Configurer les paramètres de sécurité
De nombreux dispositifs NAS disposent de paramètres de sécurité intégrés utiles pour la protection contre les ransomwares. L’option de blocage automatique est utilisée pour prévenir les attaques par force brute visant à accéder au NAS. Configurez le logiciel NAS pour bloquer les adresses IP à partir desquelles un trop grand nombre de tentatives de connexion sont détectées. Activez la journalisation pour détecter les tentatives de connexion infructueuses. La configuration de la protection du compte vous permet de bloquer l’option de connexion pendant le temps approprié après X tentatives de connexion infructueuses pendant XX minutes. La défense contre les accès non autorisés réduit la probabilité d’attaques de ransomware ciblant les dispositifs NAS. Activez la protection DDoS si votre NAS est exposé à Internet. Cette option protège les dispositifs NAS contre les attaques par déni de service distribué, conçues pour perturber les services en ligne.
Utiliser une connexion sécurisée
Utilisez toujours des connexions chiffrées vers votre NAS. Activez SSL pour les connexions afin d’utiliser le protocole HTTPS au lieu de HTTP pour accéder à l’interface web du NAS. Si vous partagez des fichiers avec des utilisateurs externes, utilisez SFTP ou FTPS au lieu de FTP car le FTP classique ne prend pas en charge le chiffrement. Lorsque vous utilisez des protocoles réseau sans chiffrement, un tiers peut capturer les données transférées sur le réseau. Les mots de passe sont transférés en texte clair lors de l’utilisation d’une connexion non sécurisée et non chiffrée. Utilisez SSH et non Telnet pour gérer votre NAS dans l’interface de ligne de commande.
Protéger l’ensemble de l’environnement
Une protection efficace contre les rançongiciels implique un ensemble complet de mesures pour tous les appareils connectés à vos réseaux. Même un appareil non protégé peut être utilisé comme point d’entrée pour les rançongiciels. Mettez à jour le firmware de tous les appareils, installez des correctifs de sécurité sur toutes les machines. Configurez la protection des e-mails en utilisant des filtres anti-spam car les e-mails indésirables et de phishing sont les méthodes d’infection par rançongiciel les plus populaires. Configurez la surveillance pour détecter une cyberattaque par rançongiciel dès que possible et arrêter le chiffrement des fichiers et la propagation des rançongiciels.
Sauvegardez vos données
Les cybercriminels recherchent de nouvelles vulnérabilités et améliorent les techniques d’attaque pour attaquer les utilisateurs et chiffrer leurs données. Les attaques par rançongiciels deviennent de plus en plus sophistiquées. C’est pourquoi vous devriez sauvegarder vos données régulièrement. Avoir une sauvegarde vous permet de restaurer les données rapidement en cas d’attaque par rançongiciel ou d’autres catastrophes entraînant une perte de données. Les périphériques NAS sont généralement utilisés comme destinations de sauvegarde, mais ils peuvent également être la cible de rançongiciels. Pour cette raison, vous devriez créer des copies de sauvegarde en suivant la règle de sauvegarde 3-2-1. Sauvegardez vos données régulièrement et créez plusieurs copies de sauvegarde. Si vos fichiers ont été chiffrés par un rançongiciel, ne payez pas la rançon car le paiement incite les cybercriminels à lancer davantage d’attaques.
NAKIVO Backup & Replication est une solution de protection de données universelle pouvant être installée sur un NAS et permet de sauvegarder vos données sur le NAS et d’autres stockages, y compris la création de copies de sauvegarde sur cassette et dans le cloud. NAKIVO Backup & Replication supporte la sauvegarde de VMware vSphere VMs, de Microsoft Hyper-V VMs, d’instances Amazon EC2, d’ordinateurs Linux, d’ordinateurs Windows, de Microsoft 365 et de bases de données Oracle. Vous pouvez explorer les diverses fonctionnalités et capacités de NAKIVO Backup & Replication en téléchargeant simplement l’Édition Gratuite. L’Édition Gratuite vous permet de protéger gratuitement 10 charges de travail et 5 comptes Microsoft 365 pendant un an !
Lisez d’autres articles de blog sur le cryptolockware pour en apprendre davantage sur la récupération d’une attaque de cryptolockware, la propagation du cryptolockware et la façon de le supprimer.
Conclusion
Compte tenu de la popularité croissante des appareils NAS, il est regrettable que le cryptolockware cible également les NAS. Pour protéger vos appareils NAS contre les attaques de cryptolockware, vous devez mettre en œuvre une série complète de mesures. Configurez des mots de passe fort, configurez un pare-feu, configurez les permissions, protégez le logiciel sur le NAS et sur les autres ordinateurs de votre réseau, installez régulièrement les correctifs de sécurité. Configurez le filtrage des courriels sur les serveurs de courriels de votre organisation pour protéger les utilisateurs contre les courriels de spam et de phishing. Mais surtout, assurez-vous de sauvegarder régulièrement vos données pour être en mesure de vous récupérer après une incidence de cryptolockware.
Source:
https://www.nakivo.com/blog/ransomware-attacks-on-nas-devices/