Grâce à l’Opération Elicius coordonnée par Europol, les forces de l’ordre sont parvenues à démanteler un groupe de ransomware roumain, connu sous le nom de Diskstation. Sa spécialité ? Chiffrer les données des NAS Synology.
« Opération Elicius » : la fin du ransomware Diskstation
Depuis 2021, un groupe de cybercriminels avait fait du chiffrement des données des NAS Synology sa spécialité. Connu sous le nom de Diskstation, ce gang opérait aussi avec d’autres noms comme “DiskStation Security”, “7even Security” ou encore “Umbrella Security”. Le nom Diskstation n’est pas un hasard puisque le système d’exploitation des NAS Synology s’appelle DSM pour DiskStation Manager.
Les NAS Synology étant souvent exposés sur Internet, ce gang scannait le Web à la recherche d’appareils vulnérables. Les rançons demandées pouvaient aller de 10 000 dollars à plusieurs centaines de milliers de dollars. “Pour retrouver l’accès à leurs données et reprendre leurs activités, les victimes devaient verser une rançon substantielle en cryptomonnaie aux cybercriminels.”, peut-on lire dans le communiqué de presse.
On dénombre d’ailleurs de nombreuses victimes en Lombardie, dans le nord de l’Italie. Des entreprises des secteurs de la production graphique et cinématographique, de l’événementiel, mais aussi des ONG internationales œuvrant pour les droits civils ont vu leurs activités perturbées par une attaque menée par ce gang.
Dans son communiqué, la police italienne précise : “Ces entreprises avaient subi un chiffrement des données de leurs systèmes informatiques, entraînant la paralysie complète de leurs processus de production.”
Grâce à une analyse forensique poussée des systèmes compromis et à une analyse de la blockchain, les enquêteurs sont parvenus à identifier plusieurs suspects après plusieurs mois d’enquête. Dans le cadre de l’opération Elicius, une intervention coordonnée a pu être menée en juin 2024 à Bucarest, en Roumanie. L’action n’est donc pas récente, bien que la communication soit de juillet 2025.
Les perquisitions ont non seulement confirmé les soupçons, mais ont aussi mené à l’arrestation d’un homme de 44 ans, considéré comme le principal opérateur du réseau Diskstation. Il est actuellement en détention provisoire pour accès non autorisé à des systèmes informatiques et tentative d’extorsion.
La sécurité des NAS ne doit pas être négligée
Cette menace rappelle qu’une mauvaise configuration d’un NAS peut avoir un impact important, surtout si ce dernier est exposé sur Internet. Par leur nature, les NAS peuvent servir d’espace de stockage principal pour certaines entreprises.
Pour rappel, voici le lien vers mon cours complet sur la sécurisation d’un NAS Synology :
L’occasion de rappeler que vous devez maintenir à jour le système du NAS et les applications que vous utilisez. Vous devez également désactiver les services inutilisés et prioriser un accès VPN pour l’accès distant.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.