Ransomware-Angriffe auf NAS-Geräte
NAS-Geräte werden sowohl von Privatpersonen als auch von Unternehmen häufig verwendet, um große Datenmengen zu speichern, auf die über Netzwerke zugegriffen werden kann. NAS-Geräte eignen sich auch sehr gut als Speicher für Backups und sind in vielen Fällen mit dem Internet verbunden. Aus diesem Grund sind NAS-Geräte ein beliebtes Ziel für Cyberkriminelle. Einige Ransomware-Versionen sind speziell auf NAS ausgerichtet.
Allerdings können auf einem NAS gespeicherte Dateien von jeder Ransomware verschlüsselt und beschädigt werden, wenn ein Computer im Netzwerk infiziert ist und Zugriff auf das NAS hat. Dies mag für viele Benutzer überraschend sein, die glauben, dass NAS standardmäßig zuverlässig und unverwundbar sind. In diesem Blogbeitrag wird erläutert, wie Sie NAS vor Ransomware-Angriffen schützen können. Die Sicherheitsmaßnahmen umfassen neben NAS-spezifischen Maßnahmen auch allgemeine Anti-Ransomware-Maßnahmen.
Ändern Sie die Anmeldeinformationen auf dem NAS
Ransomware-Entwickler kennen die Standard-Benutzernamen und -Passwörter für Administratoren auf verschiedenen NAS-Geräten sehr gut. ADMIN oder ADMIN sind die beliebtesten Benutzernamen für Administratorkonten. Wenn der Benutzername und das Passwort auf einem Gerät nicht geändert werden, können Angreifer leicht Zugriff auf das NAS erhalten. Wenn Admin-Benutzer ihre eigenen Passwörter festlegen, können Angreifer automatisierte Tools für Brute-Force-Angriffe und Wörterbücher verwenden, um das Passwort zu erraten und vollständigen Zugriff auf das NAS zu erhalten.
In den meisten Fällen können Sie ein integriertes Administratorkonto auf einem NAS-Gerät nicht löschen. Am besten erstellen Sie ein neues Benutzerkonto auf Ihrem NAS und legen einen sicheren Benutzernamen und ein Passwort fest, die schwer zu erraten sind. Fügen Sie dann alle Rechte für die Verwaltung dieses Kontos hinzu (alle Rechte, die für das Standard-Administratorkonto verfügbar sind). Deaktivieren Sie anschließend das Standard-Administratorkonto auf Ihrem NAS.
Sie können Konten für Benutzer erstellen, die direkt auf dem NAS auf freigegebene Daten zugreifen, oder Sie können Ihr NAS in die Active Directory-Domain einbinden und Active Directory-Benutzerkonten verwenden, um Ordner zu teilen und darauf zuzugreifen.
Verwenden Sie unbedingt sichere Passwörter für Benutzer, die auf Daten zugreifen, die geteilt werden. Ein sicheres Passwort enthält mindestens 8 Zeichen, darunter Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (wie %, $ & #).
Daten auf einem NAS können durch Ransomware verschlüsselt werden, wenn ein Benutzer von einem infizierten Computer aus Schreibzugriff auf einen freigegebenen Ordner auf dem NAS hat. Die zugänglichen Daten auf dem NAS können ebenfalls durch Ransomware verschlüsselt werden.
Eine gute Option, ein solches Szenario zu vermeiden, ist die Verwendung eines separaten Benutzerkontos, d. h. nicht desselben Kontos, das für die Anmeldung bei Windows verwendet wird, ohne Passwörter auf dem Windows-Rechner zu speichern. In diesem Fall muss der Benutzer nach jeder Windows-Anmeldung seine Anmeldeinformationen eingeben, um auf einen freigegebenen Ordner zuzugreifen. Der Zugriff auf und die Verschlüsselung von Daten in einem freigegebenen Ordner auf einem NAS ist schwieriger, wenn der Benutzer seine Anmeldeinformationen nicht eingegeben hat, um einen freigegebenen Ordner zu öffnen. Der Schutz vor Ransomware wird weiter verbessert, wenn das Passwort sicher ist, da einige Ransomware-Programme kleine Wörterbücher mit gängigen Passwörtern verwenden können, um ein Passwort zu erraten und Zugriff zu erhalten.
Eine weitere bewährte Vorgehensweise ist die Festlegung unterschiedlicher Zugriffsebenen für verschiedene Benutzerkategorien. Benutzer, die nur Lesezugriff benötigen, sollten keine Schreibrechte haben, um die Sicherheit weiter zu erhöhen.
Firewall konfigurieren
Wenn auf Ihr NAS von externen Netzwerken oder dem Internet aus zugegriffen werden muss, konfigurieren Sie die Firewall Ihres Gateways ordnungsgemäß, damit nur der Zugriff von vertrauenswürdigen IP-Adressen aus möglich ist. Auf diese Weise verhindern Sie, dass Angreifer Ihr NAS-Gerät über das Internet scannen und erkennen können. Am besten platzieren Sie Ihr NAS hinter einer NAT-Firewall.
Es gibt zwei Möglichkeiten, Benutzern außerhalb Ihres Netzwerks den Zugriff zu ermöglichen: Portweiterleitung und ein virtuelles privates Netzwerk (VPN). Wenn Sie die Portweiterleitung verwenden, um von externen Netzwerken auf Ihr NAS zuzugreifen, verwenden Sie benutzerdefinierte (nicht standardmäßige) Portnummern für Protokolle, die für den Zugriff auf Daten verwendet werden. Verwenden Sie beispielsweise den Port TCP 8122 anstelle von 22. Angreifer scannen in der Regel Standardports, um offene Ports zu erkennen, und starten dann Brute-Force-/Wörterbuchangriffe, um Konten zu kompromittieren und Zugriff auf das NAS zu erhalten. Es können jedoch auch Scanner verwendet werden, die alle Ports scannen, um offene Ports zu finden.
Erlauben Sie den Zugriff auf Ihr NAS, indem Sie nur die erforderlichen Ports statt alle Ports öffnen. Wenn Sie beispielsweise SMB für die Übertragung von Dateien über LAN und SFTP für die Übertragung von Dateien über WAN verwenden, deaktivieren Sie andere nicht verwendete Dienste und Dateiprotokolle. Entscheiden Sie sich aufgrund der höheren Sicherheit für die Verwendung der neuesten Version des SMB-Protokolls (CIFS) in lokalen Netzwerken.
Sie sollten auch die Remote-Konnektivität deaktivieren. Deaktivieren Sie auf Synology NASdie Quick Connect-Funktion, die dazu dient, sich von jeder WAN-IP-Adresse aus mit dem NAS zu verbinden, ohne Portweiterleitung zu konfigurieren. Durch Deaktivieren dieser Funktion wird die Anzahl der Möglichkeiten zur Verbindung mit dem NAS reduziert, wodurch die Wahrscheinlichkeit sinkt, dass das NAS kompromittiert und Daten durch Ransomware verschlüsselt werden.
Schützen Sie Ihr Netzwerk, Ihre Computer und andere mit dem Netzwerk verbundene Geräte. Wenn Sie Ihr NAS nur zur Speicherung von Backups vor Ort verwenden, deaktivieren Sie Verbindungen zu Ihrem NAS aus externen Netzwerken. Wenn Ihr NAS über eine integrierte Firewall verfügt, können Sie Verbindungen nur von IP-Adressen von Servern zulassen, auf denen regelmäßig Daten gesichert werden.
Firmware aktualisieren
NAS-Geräte verfügen über Firmware oder ein spezielles Betriebssystem, das für den Einsatz auf NAS-Geräten angepasst ist. Ransomware kann Sicherheitslücken in der Software ausnutzen, um ein Gerät zu infizieren und Dateien zu verschlüsseln. Die auf NAS-Geräten installierten Betriebssysteme bilden dabei keine Ausnahme. Aktualisieren Sie die NAS-Firmware (Betriebssysteme) und Anwendungen regelmäßig, um die neuesten Sicherheitspatches zu installieren, die entdeckte Sicherheitslücken in der NAS-Software beheben. Durch die Installation von Sicherheitsupdates wird das Risiko von Ransomware-Angriffen auf NAS-Geräte verringert. Automatische Updates können in diesem Fall nützlich sein.
Hinweis: Bei den jüngsten Ransomware-Angriffen mit der Ransomware eCh0raix wurden Brute-Force-Angriffe und Software-Sicherheitslücken genutzt, um nicht gepatchte QNAP-NAS-Geräte als Ziel zu nutzen. Benutzer, die schwache Anmeldeinformationen und nicht gepatchte Software verwendeten, wurden mit eCh0raix angegriffen. Zu den jüngsten Ransomware-Angriffen auf NAS-Geräte gehörten auch AgeLocker und QSnatch.
Sicherheitseinstellungen konfigurieren
Viele NAS-Geräte verfügen über integrierte Sicherheitseinstellungen, die für den Schutz vor Ransomware nützlich sind. Die Option „Automatisch blockieren“ wird verwendet, um Brute-Force-Angriffe zu verhindern, mit denen Zugriff auf das NAS erlangt werden soll. Konfigurieren Sie die NAS-Software so, dass IP-Adressen blockiert werden, von denen zu viele Anmeldeversuche erkannt werden. Aktivieren Sie die Protokollierung, um fehlgeschlagene Anmeldeversuche zu erkennen. Durch die Konfiguration des Kontoschutzes können Sie die Anmeldeoption für einen bestimmten Zeitraum sperren, nach X Anmeldeversuchen innerhalb von XX Minuten. Der Schutz vor unbefugtem Zugriff verringert die Wahrscheinlichkeit von Ransomware-Angriffen auf NAS-Geräte. Aktivieren Sie den DDoS-Schutz, wenn Ihr NAS mit dem Internet verbunden ist. Diese Option schützt NAS-Geräte vor Distributed-Denial-of-Service-Angriffen, die darauf abzielen, Online-Dienste zu stören.
Verwenden Sie eine sichere Verbindung
Verwenden Sie immer verschlüsselte Verbindungen zu Ihrem NAS. Aktivieren Sie SSL für Verbindungen, damit das HTTPS-Protokoll anstelle von HTTP für den Zugriff auf die NAS-Weboberfläche verwendet wird. Wenn Sie Dateien für externe Benutzer teilen, verwenden Sie SFTP oder FTPS anstelle von FTP, da klassisches FTP keine Verschlüsselung unterstützt. Wenn Sie Netzwerkprotokolle ohne Verschlüsselung verwenden, können Dritte die über das Netzwerk übertragenen Daten abfangen. Bei Verwendung einer ungesicherten, unverschlüsselten Verbindung werden Passwörter als Klartext übertragen. Verwenden Sie SSH und nicht Telnet, um Ihr NAS in der Befehlszeilenschnittstelle zu verwalten.
Schützen Sie die gesamte Umgebung
Ein wirkser Schutz vor Ransomware umfasst eine Reihe von Maßnahmen für alle mit Ihren Netzwerken verbundenen Geräte. Selbst ein einziges ungeschütztes Gerät kann als Einstiegspunkt für Ransomware genutzt werden. Aktualisieren Sie die Firmware auf allen Geräten und installieren Sie Sicherheitspatches auf allen Rechnern. Konfigurieren Sie den E-Mail-Schutz mit Anti-Spam-Filtern, da Spam- und Phishing-E-Mails die beliebtesten Methoden zur Infektion mit Ransomware sind. Konfigurieren Sie die Überwachung so, dass Cyberangriffe mit Ransomware so schnell wie möglich erkannt werden und die Verschlüsselung von Dateien sowie die Verbreitung der Ransomware gestoppt werden.
Daten sichern
Cyberkriminelle suchen nach neuen Schwachstellen und verbessern ihre Angriffstechniken, um Benutzer anzugreifen und ihre Daten zu verschlüsseln. Ransomware-Angriffe werden immer raffinierter. Deshalb sollten Sie Ihre Daten regelmäßig sichern. Mit einem Backup können Sie Daten im Falle eines Ransomware-Angriffs oder anderer Katastrophen, die zu Datenverlusten führen, in kurzer Zeit wiederherstellen. NAS-Geräte werden in der Regel als Backup-Ziele verwendet, können aber auch selbst Ziel von Ransomware sein. Aus diesem Grund sollten Sie Backupkopien nach der 3-2-1-Backup-Regelerstellen. Sichern Sie Ihre Daten regelmäßig und erstellen Sie mehrere Backupkopien. Wenn Ihre Dateien mit Ransomware verschlüsselt wurden, zahlen Sie kein Lösegeld, da dies Cyberkriminelle zu weiteren Angriffen animiert.
NAKIVO Backup & Replication ist eine universelle Lösung für die Datensicherheit, die auf NAS installiert werden kann und Ihre Daten auf NAS und anderen Speichermedien sichern kann, einschließlich der Erstellung von Backupkopien auf Bändern und in der Cloud. NAKIVO Backup & Replication unterstützt die Sicherung von VMware vSphere-VMs, Microsoft Hyper-V-VMs, Amazon EC2-Instanzen, Linux-Maschinen, Windows-Maschinen, Microsoft 365 und Oracle-Datenbanken. Sie können die verschiedenen Features und Funktionen von NAKIVO Backup & Replication erkunden, indem Sie einfach die Free Edition herunterladen. Mit der kostenlosen Version können Sie 10 Workloads und 5 Microsoft 365-Konten ein Jahr lang kostenlos schützen!
Lesen Sie weitere Blog-Beiträge zum Thema Ransomware, um mehr über das Wiederherstellen nach einem Ransomware-Angriff, die Verbreitung von Ransomware und deren Entfernung zu erfahren.
Fazit
Mit der wachsenden Beliebtheit von NAS-Geräten nehmen leider auch Ransomware-Angriffe auf NAS zu. Um NAS-Geräte vor Ransomware-Angriffen zu schützen, sollten Sie eine Reihe von Maßnahmen ergreifen. Legen Sie sichere Passwörter fest, konfigurieren Sie eine Firewall, konfigurieren Sie Berechtigungen, schützen Sie Software auf NAS und anderen Computern in Ihrem Netzwerk und installieren Sie regelmäßig Sicherheitspatches. Konfigurieren Sie E-Mail-Filter auf den E-Mail-Servern in Ihrem Unternehmen, um Benutzer vor Spam- und Phishing-E-Mails zu schützen. Am wichtigsten ist jedoch, dass Sie Ihre Daten regelmäßig sichern, um sicherzustellen, dass Sie nach einem Vorfall mit Ransomware wiederhergestellt werden können.
