Une nouvelle extension de ransomware, appelée Checkmate, a été identifiée et a mené de nombreuses attaques visant les périphériques NAS (Network Attached Storage).
Le ransomware Checkmate est apparu pour la première fois en mai 2022, s’introduisant dans des serveurs fabriqués par la société QNAP.
Dans une déclaration officielle de QNAP publiée en juillet de cette année, la société explique que les pirates s’introduisent dans le système “en utilisant une attaque par dictionnaire pour craquer les comptes dont les mots de passe sont faibles”.
L’attaque par dictionnaire est le nom donné à la stratégie consistant à effectuer des intrusions par force brute pour accéder aux identifiants et aux mots de passe des utilisateurs. Parmi les millions, voire les milliards, de tentatives de connexion, les mots du dictionnaire sont largement utilisés.
QNAP a également formulé quelques recommandations pour éviter de nouvelles victimes, notamment la mise à niveau vers la dernière version du système et l’analyse des mots de passe de tous les utilisateurs de NAS.
L’accès a été possible grâce à une pratique courante des utilisateurs de serveurs, qui consistait à rendre les services SMB disponibles sur Internet. Ils permettent le partage des données sur le réseau, ce qui permet au groupe de parcourir facilement l’ensemble du serveur.
Après avoir infecté une machine, checkmate ransomware commence à voler et à chiffrer les fichiers trouvés, et peut atteindre n’importe quel appareil connecté au même réseau. Les fichiers reçoivent une extension appelée “.checkmate” et après son application, l’accès aux données est bloqué.
Pour négocier avec le groupe et tenter de récupérer vos données, une note de rançon appelée “!CHECKMATE_DECRYPTION_README.txt” est fixée sur votre bureau, vous informant de ce qui s’est passé et d’un lien pour les contacter. Les montants demandés par le groupe pour le recouvrement sont de l’ordre de 15 000 dollars en bitcoins.
Pour tenter de gagner la confiance des victimes et leur prouver qu’ils ont accès à la clé de décryptage, le meneur de jeu joint un lien vers le télégramme, où il est possible de restaurer jusqu’à 3 dossiers contenant des fichiers de 15 Mo.
Toutefois, il convient de noter que le paiement d’une rançon n’est pas recommandé. Selon des études, les entreprises qui recourent à cette solution ont 80 % de chances d’être à nouveau attaquées.
L’idéal est de demander l’aide d’une entreprise spécialisée dans la récupération des données.
Récupérer les fichiers cryptés par Checkmate ransomware
Digital Recovery est une société spécialisée dans la récupération de fichiers cryptés par des ransomwares.
Depuis plus de 23 ans, confrontés aux différents scénarios de perte de données, nous avons acquis l’expérience nécessaire pour travailler sur des solutions dans n’importe quel centre de données. Y compris les serveurs NAS, où le ransomware Checkmate opère.
En raison des proportions énormes que peut prendre une attaque par ransomware, nous disposons d’une division spécialisée pour récupérer vos fichiers.
Dans la plupart des cas, nos ingénieurs sont également en mesure de travailler entièrement à distance pour récupérer vos informations, le tout conformément à la General Data Protection Regulation (GDPR).
Parallèlement à notre service, nous proposons à nos clients un accord de confidentialité (NDA), qui garantit le secret des informations.
Pour plus d’informations, demandez dès maintenant un diagnostic à nos experts.
