Le fabricant taïwanais de périphériques de stockage en réseau (NAS), Synology, a publié un avis de sécurité avertissant les clients d’une augmentation des attaques par brute force sur ses périphériques.
Partageant ses observations, l’équipe PSIRT (Product Security Incident Response Team) du fournisseur de matériel informatique indique qu’il semble que les attaques soient orchestrées par le botnet StealthWorker. Les ordinateurs infectés par StealthWorker sont connectés à un botnet qui effectue des attaques par brute force.
En outre, la PSIRT ajoute que les attaques ne semblent pas exploiter de vulnérabilités logicielles sur le NAS, et semblent être purement de nature « brute force ».
« Ces attaques s’appuient sur un certain nombre d’appareils déjà infectés pour essayer de deviner les informations d’identification d’administration communes et, en cas de succès, accéderont au système pour installer leur charge utile malveillante, qui peut inclure un ransomware. Les appareils infectés peuvent mener des attaques supplémentaires sur d’autres appareils basés sur Linux, y compris les NAS Synology », partage Synology dans son avis.
Les périphériques NAS connectés à Internet sont toujours dans le collimateur des acteurs de la menace. Qnap, un autre populaire fournisseur taïwanais de NAS, a fait les frais des campagnes malveillantes qui ont ciblé les appareils pour tout, du déploiement de ransomware au minage de cryptomonnaie.
Comment pouvez-vous rester en sécurité ?
Si vous utilisez un périphérique NAS Synology, rester à l’abri de ces attaques est relativement facile. Pour parer à l’attaque actuelle, Synology conseille à ses utilisateurs de s’assurer que les appareils disposent d’identifiants d’administration forts et de les changer si nécessaire. En outre, Synology recommande également d’activer le blocage automatique et la protection des comptes sur leurs NAS, et activer l’authentification en plusieurs étapes pour ajouter une autre couche de sécurité en plus des mots de passe.
Synology, pour sa part, travaille avec les équipes d’intervention d’urgence informatique (CERT) « pertinentes » pour désactiver les serveurs de commande et de contrôle (C2) connus qui alimentent le malware StealthWorker. Si vous avez trouvé des preuves d’activité suspecte sur vos appareils, vous pouvez contacter le support Synology pour obtenir de l’aide.