Ataki oprogramowania wymuszającego okup na urządzenia NAS

Urządzenia NAS są powszechnie wykorzystywane zarówno przez osoby prywatne, jak i firmy do przechowywania dużych ilości danych, do których dostęp uzyskuje się za pośrednictwem sieci. Korzystanie z urządzeń NAS jako miejsca przechowywania kopii zapasowych jest również bardzo wygodne, a w wielu przypadkach urządzenia te są podłączone do Internetu. Dlatego właśnie urządzenia NAS są częstym celem cyberprzestępców. Niektóre wersje oprogramowania ransomware są zaprojektowane specjalnie z myślą o atakach na urządzenia NAS.

Jednak pliki przechowywane na urządzeniu NAS mogą zostać zaszyfrowane i uszkodzone przez dowolne oprogramowanie wymuszające okup, jeśli komputer w sieci zostanie zainfekowany i ma dostęp do urządzenia NAS. Może to być zaskoczeniem dla wielu użytkowników, którzy uważają, że urządzenia NAS są z natury niezawodne i niepodatne na ataki. W tym wpisie na blogu wyjaśniamy, jak można chronić urządzenia NAS przed atakami ransomware. Zestaw środków bezpieczeństwa obejmuje ogólną ochronę przed oprogramowaniem wymuszającym okup oraz środki specyficzne dla urządzeń NAS.

Powiedz „nie” żądaniom okupu dzięki NAKIVO

Powiedz „nie” żądaniom okupu dzięki NAKIVO

Korzystaj z kopii zapasowych, aby szybko odzyskać dane po atakach oprogramowania wymuszającego okup. Liczne opcje odzyskiwania danych, niezmienna pamięć lokalna i w magazynie-chmurze, funkcje automatycznego odzyskiwania danych i wiele więcej.

Zmiana danych logowania na serwerze NAS

Twórcy oprogramowania wymuszającego okup doskonale znają domyślne nazwy użytkowników i hasła administratora stosowane w różnych urządzeniach NAS. Administrator lub admin to najpopularniejsze nazwy użytkowników dla kont administracyjnych. Jeśli nazwa użytkownika i hasło nie zostaną zmienione na urządzeniu, atakujący mogą łatwo uzyskać dostęp do serwera NAS. Gdy użytkownicy z uprawnieniami administratora ustawiają własne hasła, atakujący mogą wykorzystać zautomatyzowane narzędzia do przeprowadzania ataków brute-force oraz słowniki do odgadnięcia hasła, aby uzyskać pełny dostęp do serwera NAS.

W większości przypadków nie można usunąć wbudowanego konta administratora na urządzeniu NAS. Najlepszym rozwiązaniem jest utworzenie nowego konta użytkownika na serwerze NAS i ustawienie silnej nazwy użytkownika oraz hasła, które trudno odgadnąć. Następnie należy dodać wszystkie uprawnienia związane z administracją dla tego konta (wszystkie uprawnienia dostępne dla domyślnego konta administratora). Po zakończeniu należy wyłączyć domyślne konto administratora na serwerze NAS.

Można tworzyć konta dla użytkowników, którzy uzyskują dostęp do danych udostępnionych bezpośrednio na serwerze NAS, lub można dołączyć serwer NAS do domeny Active Directory i używać kont użytkowników Active Directory do udostępniania folderów i uzyskiwania do nich dostępu.

Pamiętaj, aby używać silnych haseł dla użytkowników, którzy mają dostęp do udostępnionych danych. Silne hasło zawiera co najmniej 8 znaków, w tym wielkie i małe litery, cyfry oraz znaki specjalne (takie jak %, $ & #).

Dane na serwerze NAS mogą zostać zaszyfrowane przez oprogramowanie wymuszające okup, jeśli użytkownik ma dostęp do zapisu z zainfekowanego komputera do folderu udostępnionego na serwerze NAS. Dostępne dane na serwerze NAS również mogą zostać zaszyfrowane przez oprogramowanie wymuszające okup.

Dobrym rozwiązaniem pozwalającym uniknąć tego rodzaju sytuacji jest użycie oddzielnego konta użytkownika, czyli innego niż to używane do logowania się do systemu Windows, bez zapisywania haseł na komputerze z systemem Windows. W takim przypadku użytkownik będzie musiał wprowadzać swoje dane uwierzytelniające, aby uzyskać dostęp do folderu współdzielonego po każdym logowaniu do systemu Windows. Uzyskanie dostępu do danych w folderze współdzielonym znajdującym się na serwerze NAS i ich szyfrowanie jest trudniejsze, jeśli użytkownik nie wprowadził swoich danych uwierzytelniających w celu otwarcia folderu współdzielonego. Ochrona przed oprogramowaniem wymuszającym okup jest jeszcze lepsza, jeśli hasło jest silne, ponieważ niektóre programy wymuszające okup mogą wykorzystywać małe słowniki z popularnymi hasłami, aby odgadnąć hasło i uzyskać dostęp.

Kolejną dobrą praktyką jest ustawienie różnych poziomów dostępu dla różnych kategorii użytkowników. Użytkownicy, którzy wymagają dostępu tylko do odczytu, nie powinni mieć uprawnień do zapisu, aby jeszcze bardziej zwiększyć bezpieczeństwo.

Konfiguracja zapory sieciowej

Jeśli dostęp do serwera NAS musi być możliwy z sieci zewnętrznych lub z Internetu, należy odpowiednio skonfigurować zaporę sieciową na bramie sieciowej, aby zezwalała na dostęp wyłącznie z zaufanych adresów IP. W ten sposób uniemożliwi się atakującym skanowanie i wykrywanie urządzenia NAS przez Internet. Najlepszym rozwiązaniem jest umieszczenie serwera NAS za zaporą sieciową typu NAT.

Istnieją dwa sposoby umożliwienia dostępu użytkownikom spoza sieci: przekierowanie portów oraz wirtualna sieć prywatna (VPN). Jeśli korzystasz z przekierowania portów, aby uzyskać dostęp do serwera NAS z sieci zewnętrznych, używaj niestandardowych numerów portów dla protokołów używanych do dostępu do danych. Na przykład użyj portu TCP 8122 zamiast 22. Atakujący zazwyczaj skanują standardowe porty w celu wykrycia otwartych portów i rozpoczynają ataki brute-force/słownikowe, aby przejąć konta i uzyskać dostęp do serwera NAS. Jednak do wyszukiwania otwartych portów mogą być również używane skanery, które skanują wszystkie porty.

Zezwól na dostęp do serwera NAS, otwierając tylko potrzebne porty zamiast wszystkich. Na przykład, jeśli używasz SMB do przesyłania plików przez sieć LAN i SFTP do przesyłania plików przez sieć WAN, wyłącz inne nieużywane usługi i protokoły plików. W sieciach lokalnych wybierz najnowszą wersję protokołu SMB (CIFS) ze względu na wyższy poziom bezpieczeństwa.

Należy również wyłączyć łączność zdalną. Na stronie Serwer sieciowy Synologywyłącz funkcję Quick Connect, która umożliwia połączenie z serwerem NAS z dowolnego adresu IP w sieci WAN bez konfigurowania przekierowania portów. Wyłączenie tej funkcji ogranicza liczbę sposobów połączenia się z serwerem NAS, zmniejszając tym samym prawdopodobieństwo przejęcia serwera i szyfrowania danych przez oprogramowanie wymuszające okup.

Chroń swoją sieć, komputery i inne urządzenia podłączone do sieci. Jeśli używasz serwera NAS wyłącznie do przechowywania kopii zapasowych lokalnie, wyłącz połączenia z serwerem NAS z sieci zewnętrznych. Jeśli serwer NAS ma wbudowaną zaporę sieciową, możesz zezwolić na połączenia tylko z adresów IP serwerów, na których regularnie wykonywane są kopie zapasowe danych.

Zaktualizuj oprogramowanie sprzętowe

Urządzenia NAS mają oprogramowanie sprzętowe lub specjalny system operacyjny dostosowany do pracy na serwerze NAS. Oprogramowanie ransomware może wykorzystywać luki w zabezpieczeniach oprogramowania, aby zainfekować urządzenie i zaszyfrować pliki. Systemy operacyjne zainstalowane na urządzeniach NAS nie są tu wyjątkiem. Regularnie aktualizuj oprogramowanie sprzętowe (systemy operacyjne) i aplikacje serwera NAS, aby zainstalować najnowsze poprawki zabezpieczeń, które naprawiają wykryte luki w oprogramowaniu serwera NAS. Instalowanie aktualizacji zabezpieczeń zmniejsza ryzyko ataków oprogramowania wymuszającego okup na urządzenia NAS. W tym przypadku przydatne mogą być automatyczne aktualizacje. Uwaga: Ostatnie ataki oprogramowania wymuszającego okup z wykorzystaniem oprogramowania eCh0raix opierały się na metodzie brute-force oraz lukach w oprogramowaniu i były skierowane przeciwko urządzeniom NAS firmy QNAP, które nie miały zainstalowanych aktualizacji. Użytkownicy korzystający ze słabych danych logowania i nieaktualnego oprogramowania padli ofiarą ataku eCh0raix. Najnowsze ataki oprogramowania wymuszającego okup wymierzone w urządzenia NAS obejmowały również oprogramowanie AgeLocker i QSnatch.

Konfiguracja ustawień zabezpieczeń

Wiele urządzeń NAS posiada wbudowane ustawienia zabezpieczeń, które są przydatne w ochronie przed oprogramowaniem wymuszającym okup. Opcja automatycznego blokowania służy do zapobiegania atakom typu brute-force mającym na celu uzyskanie dostępu do serwera NAS. Skonfiguruj oprogramowanie serwera NAS tak, aby blokowało adresy IP, z których wykryto zbyt wiele prób logowania. Włącz rejestrowanie w celu wykrywania nieudanych prób logowania. Skonfigurowanie ochrony konta pozwala zablokować opcję logowania na odpowiedni czas po X nieudanych próbach logowania w ciągu XX minut. Obrona przed nieautoryzowanym dostępem zmniejsza prawdopodobieństwo ataków ransomware wymierzonych w urządzenia NAS. Włącz ochronę przed atakami DDoS, jeśli serwer NAS ma dostęp do Internetu. Ta opcja chroni urządzenia NAS przed rozproszonymi atakami typu „odmowa usługi”, których celem jest zakłócenie działania usług online.

Korzystaj z bezpiecznego połączenia

Zawsze korzystaj z szyfrowanych połączeń z serwerem NAS. Włącz protokół SSL, aby połączenia korzystały z protokołu HTTPS zamiast HTTP w celu uzyskania dostępu do interfejsu internetowego serwera NAS. Jeśli udostępniasz pliki użytkownikom zewnętrznym, używaj protokołów SFTP lub FTPS zamiast FTP, ponieważ klasyczny protokół FTP nie obsługuje szyfrowania. Kiedy korzystasz z protokołów sieciowych bez szyfrowania, osoby trzecie mogą przechwycić dane przesyłane przez sieć. Hasła są przesyłane jako zwykły tekst przy korzystaniu z niezabezpieczonego, niezaszyfrowanego połączenia. Używaj SSH, a nie Telnetu, do zarządzania urządzeniem NAS w interfejsie wiersza poleceń.

Chroń całe środowisko

Skuteczna ochrona przed oprogramowaniem wymuszającym okup obejmuje kompletny zestaw środków dla wszystkich urządzeń podłączonych do sieci. Nawet jedno niezabezpieczone urządzenie może posłużyć jako punkt wejścia dla oprogramowania wymuszającego okup. Zaktualizuj oprogramowanie sprzętowe na wszystkich urządzeniach i zainstaluj poprawki zabezpieczeń na wszystkich maszynach. Skonfiguruj ochronę e-maila za pomocą filtrów antyspamowych, ponieważ spam i wiadomości phishingowe są najpopularniejszymi metodami infekcji oprogramowaniem wymuszającym okup. Skonfiguruj monitorowanie, aby jak najszybciej wykrywać cyberataki ransomware oraz powstrzymać szyfrowanie plików i rozprzestrzenianie się oprogramowania wymuszającego okup.

Wykonaj kopię zapasową danych

Cyberprzestępcy poszukują nowych luk w zabezpieczeniach i udoskonalają techniki ataku, aby zaatakować użytkowników i zaszyfrować ich dane. Ataki oprogramowania wymuszającego okup stają się coraz bardziej wyrafinowane. Dlatego warto regularnie wykonywać kopie zapasowe danych. Posiadanie kopii zapasowej pozwala na szybkie przywrócenie danych w przypadku ataku oprogramowania wymuszającego okup lub innych awarii prowadzących do utraty danych. Urządzenia NAS są zazwyczaj wykorzystywane jako miejsca docelowe kopii zapasowych, ale same mogą stać się celem ataku oprogramowania wymuszającego okup. Z tego powodu należy wykonywać kopie zapasowe zgodnie z zasadą „ Zasada tworzenia kopii zapasowej 3-2-1”. Regularnie wykonywaj kopie zapasowe danych i przygotuj ich kilka. Jeśli Twoje pliki zostały zaszyfrowane przez oprogramowanie wymuszające okup, nie płacisz okupu, ponieważ wypłacenie okupu zachęca cyberprzestępców do przeprowadzania kolejnych ataków.

NAKIVO Backup & Replication to uniwersalne rozwiązanie do ochrony danych, które można zainstalować na serwerze NAS i które może wykonaj kopię zapasową danych na serwerze NAS oraz inne nośniki, w tym tworzenie kopii zapasowych na taśmach i w chmurze. NAKIVO Backup & Replication obsługuje wykonanie kopii zapasowej maszyn wirtualnych VMware vSphere, maszyn wirtualnych Microsoft Hyper-V, instancji Amazon EC2, komputerów z systemem Linux, komputerów z systemem Windows, Microsoft 365 oraz baz danych Oracle. Możesz zapoznać się z różnymi funkcjami i możliwościami NAKIVO Backup & Replication, po prostu pobierając edycję Free Edition. Edycja Free Edition pozwala na bezpłatną ochronę 10 obciążeń i 5 kont Microsoft 365 przez jeden rok!

Roczny bezpłatny dostęp do usługi ochrony danych: NAKIVO Backup & Replication

Roczny bezpłatny dostęp do usługi ochrony danych: NAKIVO Backup & Replication

Wdrażanie w 2 minuty i ochrona danych w środowiskach wirtualnych, chmurowych, fizycznych oraz SaaS. Opcje wykonywania kopii zapasowej, replikacji i natychmiastowego odzyskiwania danych.

Przeczytaj inne wpisy na blogu dotyczące oprogramowania wymuszającego okup, aby dowiedzieć się więcej o odbudowa po ataku oprogramowania wymuszającego okup, sposobach rozprzestrzeniania się oprogramowania wymuszającego okup oraz o tym, jak je usunąć.

Podsumowanie

Wraz z rosnącą popularnością urządzeń NAS niestety rośnie również liczba ataków oprogramowania wymuszającego okup wymierzonych w te urządzenia. Aby chronić urządzenia NAS przed atakami oprogramowania wymuszającego okup, należy wdrożyć kompleksowy zestaw środków zabezpieczających. Ustaw silne hasła, skonfiguruj zaporę sieciową, skonfiguruj uprawnienia, zabezpiecz oprogramowanie na serwerze NAS i innych komputerach w sieci oraz regularnie instaluj poprawki zabezpieczeń. Skonfiguruj filtrowanie wiadomości e-mail na serwerach pocztowych w organizacji, aby chronić użytkowników przed spamem i wiadomościami phishingowymi. Najważniejsze jest jednak regularne wykonywanie kopii zapasowych danych, aby zapewnić możliwość odzyskania danych po ataku oprogramowania wymuszającego okup.

People also read