Diskstation парализовала бизнесы в Италии на сотни тысяч евро. Всему виной NAS, который просто стоял в углу

Полицейские службы Европы при поддержке Европола ликвидировали деятельность румынской киберпреступной группировки, известной под названием Diskstation. Группа специализировалась на атаках с использованием программы-вымогателя, нацеленной на устройства хранения данных Synology NAS, широко используемые компаниями для хранения файлов, резервного копирования и обмена данными.

Атаки, начавшиеся в 2021 году, затронули устройства по всему миру. Преступники действовали под различными названиями, включая «DiskStation Security», «Quick Security», «LegendaryDisk Security», «7even Security» и «Umbrella Security». Все эти псевдонимы маскировали одну и ту же цель — зашифровать данные на уязвимых сетевых хранилищах и требовать выкуп. Размеры требований варьировались от 10 тысяч долларов до нескольких сотен тысяч, причём оплата принималась исключительно в криптовалюте. Устройства NAS , имевшие открытый доступ из интернета и незащищённые надлежащим образом, становились лёгкой добычей.

Пострадавшими оказались компании из итальянской Ломбардии, занимающиеся производством графики и фильмов, организации по проведению мероприятий, а также международные неправительственные объединения, работающие в сфере защиты гражданских прав и благотворительности. Атаки привели к остановке бизнес-процессов, полной недоступности данных и нарушению работы целых производственных цепочек.

Специалисты из Италии, Франции и Румынии объединили усилия в рамках операции под кодовым названием «Elicius». Руководство расследованием осуществляла прокуратура Милана. Особое внимание было уделено цифровой экспертизе заражённых систем и анализу блокчейн-транзакций, позволивших отследить движение выкупа. Эти меры позволили в течение нескольких месяцев установить личности подозреваемых и организовать рейды в Бухаресте в июне 2024 года.

Во время обысков была получена доказательная база, подтверждающая причастность задержанных к кибератакам. Кроме того, один из фигурантов был задержан в момент совершения противоправных действий. Им оказался 44-летний житель Румынии , предположительно играющий ключевую роль в организации атак. В настоящее время он находится в предварительном заключении и ожидает суда по обвинениям в несанкционированном доступе к компьютерным системам и вымогательстве.

Чтобы избежать подобных инцидентов, специалистами по безопасности рекомендовано своевременно обновлять прошивку NAS-устройств, отключать неиспользуемые сервисы (включая Telnet, rsync и UPnP), не открывать устройства в интернет и предоставлять к ним доступ исключительно через VPN.