Attacchi ransomware ai dispositivi NAS
Modificare le credenziali sul NAS
I creatori di ransomware conoscono bene i nomi utente e le password predefiniti degli amministratori sui diversi dispositivi NAS. Administrator o admin sono i nomi utente più diffusi per gli account amministratori. Se il nome utente e la password non vengono modificati su un dispositivo, gli aggressori possono facilmente ottenere l’accesso al NAS. Quando gli utenti amministratori impostano le proprie password, gli aggressori possono utilizzare strumenti automatizzati per eseguire attacchi di forza bruta e dizionari per indovinare la password e ottenere l’accesso completo al NAS.
Nella maggior parte dei casi, non è possibile eliminare un account amministratore integrato su un dispositivo NAS. La cosa migliore da fare è creare un nuovo account utente sul NAS e impostare un nome utente e una password complessi e difficili da indovinare. Quindi aggiungere tutte le autorizzazioni di amministrazione per questo account (tutte le autorizzazioni disponibili per l’account amministratore predefinito). Al termine, disabilitare l’account amministratore predefinito sul NAS.
È possibile creare account per gli utenti che accedono ai dati condivisi direttamente sul NAS oppure è possibile aggiungere il NAS al dominio Active Directory e utilizzare gli account utente Active Directory per condividere cartelle e accedervi.
Assicurarsi di utilizzare password complesse per gli utenti che accedono ai dati condivisi. Una password complessa contiene almeno 8 caratteri, tra cui lettere maiuscole, lettere minuscole, cifre e caratteri speciali (come %, $ & #).
I dati su un NAS possono essere crittografati da un ransomware se un utente ha accesso in scrittura da un computer infetto a una cartella condivisa sul NAS. Anche i dati accessibili sul NAS possono essere crittografati da un ransomware.
Una buona opzione per evitare questo tipo di scenario è quella di utilizzare un account utente separato, cioè non lo stesso account utilizzato per accedere a Windows, senza salvare le password sul computer Windows. In questo caso, l’utente dovrà inserire le proprie credenziali per accedere a una cartella condivisa dopo ogni accesso a Windows. È più difficile accedere e effettuare la crittografia dei dati su una cartella condivisa con l’ubicazione su un NAS se l’utente non ha inserito le proprie credenziali per aprire una cartella condivisa. La protezione dai ransomware è ulteriormente migliorata se la password è forte, poiché alcuni ransomware possono utilizzare piccoli dizionari con password popolari per indovinare una password e ottenere l’accesso.
Un’altra buona pratica consiste nell’impostare livelli di accesso diversi per diverse categorie di utenti. Gli utenti che richiedono un accesso di sola lettura non dovrebbero avere permessi di scrittura per aumentare ulteriormente la sicurezza.
Configurare il firewall
Se è necessario accedere al NAS da reti esterne o da Internet, configurare correttamente il firewall sul gateway per consentire l’accesso solo da indirizzi IP affidabili. In questo modo si impedisce agli aggressori di eseguire la scansione e rilevare il dispositivo NAS su Internet. L’opzione migliore è posizionare il NAS dietro un firewall NAT.
Esistono due approcci per consentire l’accesso agli utenti esterni alla rete: il port forwarding e una rete privata virtuale (VPN). Se si utilizza il port forwarding per accedere al NAS da reti esterne, utilizzare numeri di porta personalizzati (non standard) per i protocolli utilizzati per accedere ai dati. Ad esempio, utilizzare la porta TCP 8122 invece della 22. Gli aggressori di solito scansionano le porte standard per rilevare le porte aperte e avviare attacchi di forza bruta/dizionario per compromettere gli account e ottenere l’accesso al NAS. Tuttavia, anche gli scanner che scansionano tutte le porte possono essere utilizzati per trovare porte aperte.
Consentite l’accesso al vostro NAS aprendo solo le porte necessarie invece di tutte le porte. Ad esempio, se utilizzate SMB per trasferire file su LAN e SFTP per trasferire file su WAN, disabilitate gli altri servizi e protocolli di file inutilizzati. Optate per l’utilizzo dell’ultima versione del protocollo SMB (CIFS) nelle reti locali a causa del livello di sicurezza più elevato.
Dovreste anche disabilitare la connettività remota. Su Synology NAS, disabilitate la funzione Quick Connect destinata a connettersi al NAS da qualsiasi indirizzo IP WAN senza configurare il port forwarding. La disattivazione di questa funzione riduce il numero di modi per connettersi al NAS, rendendo così meno probabile che il NAS venga compromesso e i dati crittografati dal ransomware.
Proteggi la tua rete, i computer e gli altri dispositivi connessi alla rete. Se utilizzi il NAS solo per archiviare i backup in loco, disattiva le connessioni al NAS da reti esterne. Se sul NAS è presente un firewall integrato, è possibile abilitare le connessioni solo dagli indirizzi IP dei server su cui vengono regolarmente eseguiti i backup dei dati.
Aggiornamento del firmware
I dispositivi NAS dispongono di firmware o di un sistema operativo speciale adottato per funzionare su NAS. Il ransomware può sfruttare le vulnerabilità di sicurezza del software per infettare un dispositivo e crittografare i file. E i sistemi operativi installati sui dispositivi NAS non fanno eccezione. Aggiornare regolarmente il firmware (sistemi operativi) e le applicazioni NAS per installare le ultime patch di sicurezza che risolvono le vulnerabilità del software NAS rilevate. L’installazione degli aggiornamenti di sicurezza riduce il rischio di attacchi ransomware sui dispositivi NAS. In questo caso possono essere utili gli aggiornamenti automatici.
Nota: I recenti attacchi ransomware che hanno coinvolto il ransomware eCh0raix hanno utilizzato la forza bruta e le vulnerabilità del software per colpire i dispositivi NAS QNAP che non sono stati aggiornati. Gli utenti che utilizzavano credenziali deboli e software non aggiornato sono stati attaccati con eCh0raix. Gli ultimi attacchi ransomware che hanno preso di mira i dispositivi NAS includevano anche AgeLocker e QSnatch.
Configurare le impostazioni di sicurezza
Molti dispositivi NAS dispongono di impostazioni di sicurezza integrate utili per la protezione dai ransomware. L’opzione di blocco automatico viene utilizzata per prevenire attacchi di forza bruta volti ad accedere al NAS. Configurare il software NAS per bloccare gli indirizzi IP da cui vengono rilevati troppi tentativi di accesso. Abilitare la registrazione per rilevare i tentativi di accesso non riusciti. La configurazione della protezione dell’account consente di bloccare l’opzione di accesso per un periodo di tempo appropriato dopo X tentativi di accesso non riusciti per XX minuti. La difesa contro gli accessi non autorizzati riduce la probabilità di attacchi ransomware mirati ai dispositivi NAS. Abilitare la protezione DDoS se il NAS è esposto a Internet. Questa opzione protegge i dispositivi NAS dagli attacchi distribuiti di tipo denial-of-service, progettati per interrompere i servizi online.
Utilizzare una connessione sicura
Utilizzare sempre connessioni crittografate al NAS. Abilita SSL per le connessioni in modo da utilizzare il protocollo HTTPS invece di HTTP per accedere all’interfaccia web del NAS. Se condividi file con utenti esterni, utilizza SFTP o FTPS invece di FTP perché il classico FTP non supporta la crittografia. Quando utilizzi protocolli di rete senza crittografia, terze parti possono intercettare i dati trasferiti sulla rete. Le password vengono trasferite come testo in chiaro quando si utilizza una connessione non protetta e non crittografata. Utilizza SSH e non Telnet per gestire il tuo NAS nell’interfaccia della riga di comando.
Proteggi l’intero ambiente
Una protezione efficace dai ransomware comporta una serie completa di misure per tutti i dispositivi collegati alle tue reti. Anche un solo dispositivo non protetto può essere utilizzato come punto di ingresso per il ransomware. Aggiorna il firmware su tutti i dispositivi, installa le patch di sicurezza su tutte le macchine. Configurate la protezione della posta elettronica utilizzando filtri anti-spam, poiché le e-mail di spam e phishing sono i metodi di infezione da ransomware più diffusi. Configurate il monitoraggio per rilevare il prima possibile un attacco informatico ransomware e bloccare la crittografia dei file e la diffusione del ransomware.
Eseguite il backup dei dati
I criminali informatici sono alla ricerca di nuove vulnerabilità e migliorano le tecniche di attacco per colpire gli utenti e crittografare i loro dati. Gli attacchi ransomware diventano sempre più sofisticati. Ecco il motivo per cui è importante eseguire regolarmente il backup dei dati. Avere un backup consente di ripristinare i dati in breve tempo in caso di attacco ransomware o altri disastri che causano la perdita dei dati. I dispositivi NAS vengono solitamente utilizzati come destinazioni di backup, ma possono anche essere bersaglio di ransomware. Per questo motivo è necessario creare copie di backup basate sulla regola di backup 3-2-1 >3-2-1 backup rule. Esegui regolarmente il backup dei tuoi dati e crea diverse copie di backup. Se i tuoi file sono stati crittografati con un ransomware, non pagare il riscatto perché il pagamento incentiva i criminali informatici a lanciare ulteriori attacchi.
NAKIVO Backup & Replication è una soluzione universale per la protezione dei dati che può essere installata su NAS e può eseguire il backup dei tuoi dati su NAS e altri dispositivi di archiviazione, compresa la creazione di copie di backup su nastro e cloud. NAKIVO Backup & Replication supporta il backup di macchine virtuali VMware vSphere, macchine virtuali Microsoft Hyper-V, istanze di Amazon EC2, macchine Linux, macchine Windows, Microsoft 365 e Oracle Database. È possibile esplorare le varie caratteristiche e funzionalità di NAKIVO Backup & Replication semplicemente scaricando l’Edizione gratuita. La versione gratuita consente di proteggere 10 carichi di lavoro e 5 account Microsoft 365 gratuitamente per un anno!
Leggi altri post del blog sul ransomware per scoprire di più su come ripristinare dopo un attacco ransomware, come si diffonde il ransomware e come rimuoverlo.
Conclusione
Con la crescente popolarità dei dispositivi NAS, purtroppo anche il ransomware che prende di mira i NAS è in aumento. Per proteggere i dispositivi NAS dagli attacchi ransomware, è necessario implementare una serie completa di misure. Impostare password complesse, configurare il firewall, configurare le autorizzazioni, proteggere il software sul NAS e sugli altri computer della rete, installare regolarmente le patch di sicurezza. Configurare il filtro e-mail sui server di posta elettronica dell’organizzazione per proteggere gli utenti da spam e e-mail di phishing. Ma soprattutto, assicurarsi di eseguire regolarmente il backup dei dati per garantire il ripristino dopo un incidente di ransomware.
