Récemment, Europol, en coopération avec les polices italienne, française et roumaine, a démantelé le groupe cybercriminel surnommé « Diskstation ».
Diskstation est actif depuis 2021 sous plusieurs appellations (Quick Security, 7even Security, Umbrella Security…). Son mode opératoire est simple : identifier des NAS accessibles depuis Internet, les compromettre, puis exiger de 10 000 $ à plusieurs centaines de milliers de dollars en bitcoins. L’enquête italienne a recensé des victimes dans l’audiovisuel, l’événementiel et même des ONG.
Comment les pirates procédaient-ils ?
1. Identification des cibles : Les hackers scannaient les ports 5000 et 5001 (utilisés par l’interface DSM des NAS Synology) ou cherchaient les sous-domaines liés au service QuickConnect afin d'identifier des appareils vulnérables directement accessibles sur Internet.
2. Accès initial : mots de passe faibles et vulnérabilités critiques
- Attaques automatisées : Le gang utilisait le botnet StealthWorker pour effectuer du « credential stuffing » (test de combinaisons identifiants/mots de passe réutilisés ailleurs) et du brute-force (attaque par dictionnaire). En clair, ils profitaient simplement de mots de passe trop faibles (comme « admin123 »).
- Exploitation de vulnérabilités : Le gang utilisait notamment une faille critique récente (CVE-2024-10443), appelée RISK:STATION, qui permettait une prise de contrôle complète du NAS via l’application Synology Photos sans aucune interaction nécessaire de l’utilisateur (faille zero-click). Une autre vulnérabilité (CVE-2024-10444) liée à LDAP facilitait également leur prise de contrôle.
3. Techniques de phishing ciblées : Pour augmenter leurs chances, les pirates diffusaient des emails imitant des alertes officielles de Synology (« Critical Security Update »). Ces emails redirigeaient les victimes vers des NAS compromis à travers une faille d’open redirect (CVE-2024-0854).
4. Étape finale : chiffrement et demande de rançon : Une fois connectés, les hackers obtenaient un accès root, installaient un script de persistance, chiffraient les volumes de stockage (AES-256 + RSA-2048), supprimaient les sauvegardes (snapshots), et exigeaient une rançon allant de 10 000 à plus de 200 000 $ en Bitcoin.
Comment Europol a mis fin à ces attaques ?
Grâce à une enquête approfondie initiée en Italie début 2024, Europol et les autorités locales ont pu retracer les activités du gang via :
- L'analyse technique des NAS compromis,
- L'identification des serveurs utilisés par les pirates,
- Le traçage des paiements en Bitcoin.
En juin 2024, des raids coordonnés ont conduit à l’arrestation du leader du gang à Bucarest, mettant fin à leurs activités.
Quelques conseils pour protéger efficacement votre NAS Synology :
- Mettez immédiatement à jour votre NAS (notamment Synology Photos version 1.7.0-0795 ou supérieure).
- Désactivez systématiquement l’utilisateur "admin" par défaut.
- Configurez le blocage automatique des IP après plusieurs tentatives infructueuses de connexion.
- Limitez ou supprimez l’accès direct à DSM depuis Internet. Préférez l'utilisation d’un VPN sécurisé.
- Utilisez l'authentification multifacteur (MFA) partout où c'est possible.
- Adoptez une politique de sauvegarde 3-2-1 : au moins trois copies des données, sur deux supports différents, dont une copie hors ligne.
En suivant ces conseils simples, tout devrait bien se passer avec votre NAS !
Sources
Bill Toulas
SC Staff
Synology Inc.
Zeljka Zorz
Kaaviya