Các cuộc tấn công ransomware nhắm vào thiết bị NAS

Các thiết bị NAS được cả cá nhân và doanh nghiệp sử dụng rộng rãi để lưu trữ lượng lớn dữ liệu và truy cập qua mạng. Việc sử dụng NAS làm thiết bị lưu trữ sao lưu cũng rất tiện lợi, và trong nhiều trường hợp, các thiết bị NAS được kết nối với internet. Đó là lý do tại sao các thiết bị NAS thường trở thành mục tiêu của tội phạm mạng. Một số phiên bản ransomware được thiết kế đặc biệt để nhắm vào NAS.

Tuy nhiên, các tệp được lưu trữ trên NAS có thể bị mã hóa và hỏng bởi bất kỳ ransomware nào nếu một máy tính trong mạng bị nhiễm và có quyền truy cập vào NAS. Điều này có thể gây ngạc nhiên cho nhiều người dùng, những người tin rằng NAS là đáng tin cậy và không thể bị tấn công theo mặc định. Bài đăng trên blog này giải thích cách bạn có thể bảo vệ NAS khỏi các cuộc tấn công ransomware. Bộ các biện pháp bảo mật bao gồm các biện pháp chống ransomware chung ngoài các biện pháp dành riêng cho NAS.

Hãy nói không với các vụ tống tiền cùng NAKIVO

Sử dụng bản sao lưu để khôi phục dữ liệu nhanh chóng sau các cuộc tấn công ransomware. Nhiều tùy chọn khôi phục, bộ nhớ cục bộ và đám mây không thể thay đổi, các tính năng tự động hóa khôi phục và nhiều hơn nữa.

KHÁM PHÁ GIẢI PHÁP

Thay đổi thông tin đăng nhập trên NAS

Những kẻ tạo ra phần mềm tống tiền rất rõ về tên người dùng và mật khẩu quản trị viên mặc định trên các thiết bị NAS khác nhau. Administrator hoặc admin là những tên người dùng phổ biến nhất cho tài khoản quản trị. Nếu tên người dùng và mật khẩu không được thay đổi trên thiết bị, kẻ tấn công có thể dễ dàng truy cập vào NAS. Khi người dùng quản trị tự đặt mật khẩu của mình, kẻ tấn công có thể sử dụng các công cụ tự động để thực hiện các cuộc tấn công brute-force và sử dụng từ điển để đoán mật khẩu nhằm chiếm quyền truy cập đầy đủ vào NAS.

Trong hầu hết các trường hợp, bạn không thể xóa tài khoản quản trị tích hợp sẵn trên thiết bị NAS. Cách tốt nhất là tạo một tài khoản người dùng mới trên NAS và đặt tên người dùng và mật khẩu mạnh, khó đoán. Sau đó, cấp tất cả quyền quản trị cho tài khoản này (tất cả quyền có sẵn cho tài khoản quản trị mặc định). Khi hoàn tất, vô hiệu hóa tài khoản quản trị mặc định trên NAS.

Bạn có thể tạo tài khoản cho người dùng truy cập dữ liệu chia sẻ trực tiếp trên NAS, hoặc kết nối NAS với miền Active Directory và sử dụng tài khoản người dùng Active Directory để chia sẻ thư mục và truy cập chúng.

Hãy đảm bảo sử dụng mật khẩu mạnh cho người dùng truy cập dữ liệu chia sẻ. Một mật khẩu mạnh phải có ít nhất 8 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt (như %, $ & #).

Dữ liệu trên NAS có thể bị mã hóa bởi ransomware nếu người dùng có quyền ghi từ máy tính bị nhiễm vào thư mục chia sẻ trên NAS. Dữ liệu có thể truy cập trên NAS cũng có thể bị mã hóa bởi ransomware.

Một giải pháp tốt để tránh tình huống này là sử dụng tài khoản người dùng riêng biệt, tức là không dùng cùng tài khoản dùng để đăng nhập vào Windows, và không lưu mật khẩu trên máy tính Windows. Trong trường hợp này, người dùng sẽ phải nhập thông tin đăng nhập để truy cập thư mục chia sẻ sau mỗi lần đăng nhập Windows. Việc truy cập và mã hóa dữ liệu trên thư mục chia sẻ nằm trên NAS sẽ khó khăn hơn nếu người dùng chưa nhập thông tin đăng nhập để mở thư mục chia sẻ. Khả năng bảo vệ chống ransomware sẽ được cải thiện hơn nữa nếu mật khẩu đủ mạnh, vì một số ransomware có thể sử dụng các từ điển nhỏ chứa các mật khẩu phổ biến để đoán mật khẩu và giành quyền truy cập.

Một phương pháp hay khác là thiết lập các cấp độ truy cập khác nhau cho các loại người dùng khác nhau. Người dùng chỉ cần quyền truy cập đọc không nên có quyền ghi để tăng cường bảo mật hơn nữa.

Cấu hình tường lửa

Nếu thiết bị NAS của bạn cần được truy cập từ các mạng bên ngoài hoặc internet, hãy cấu hình tường lửa trên cổng mạng (gateway) một cách chính xác để chỉ cho phép truy cập từ các địa chỉ IP đáng tin cậy. Bằng cách này, bạn có thể ngăn chặn kẻ tấn công quét và phát hiện thiết bị NAS của bạn qua internet. Lựa chọn tốt nhất là đặt thiết bị NAS của bạn phía sau một tường lửa NAT.

Có hai phương pháp để cho phép người dùng bên ngoài mạng của bạn truy cập: chuyển tiếp cổng (port forwarding) và mạng riêng ảo (VPN). Nếu bạn sử dụng chuyển tiếp cổng để truy cập NAS từ các mạng bên ngoài, hãy sử dụng các số cổng tùy chỉnh (không tiêu chuẩn) cho các giao thức dùng để truy cập dữ liệu. Ví dụ, sử dụng cổng TCP 8122 thay vì 22. Kẻ tấn công thường quét các cổng tiêu chuẩn để phát hiện các cổng mở và bắt đầu các cuộc tấn công dò mật khẩu hoặc tấn công từ điển để xâm nhập tài khoản và truy cập vào NAS. Tuy nhiên, các công cụ quét tất cả các cổng cũng có thể được sử dụng để tìm các cổng mở.

Cho phép truy cập vào NAS của bạn bằng cách chỉ mở các cổng cần thiết thay vì tất cả các cổng. Ví dụ: nếu bạn sử dụng SMB để truyền tệp qua mạng LAN và SFTP để truyền tệp qua mạng WAN, hãy tắt các dịch vụ và giao thức tệp khác không sử dụng. Nên sử dụng phiên bản mới nhất của giao thức SMB (CIFS) trong mạng nội bộ do mức độ bảo mật cao hơn.

Bạn cũng nên vô hiệu hóa kết nối từ xa. Trên Thiết bị lưu trữ mạng Synology, vô hiệu hóa tính năng Quick Connect được thiết kế để kết nối với NAS từ bất kỳ địa chỉ IP WAN nào mà không cần cấu hình chuyển tiếp cổng. Việc vô hiệu hóa tính năng này giảm số lượng cách kết nối với NAS, từ đó làm giảm khả năng NAS bị xâm nhập và dữ liệu bị mã hóa bởi ransomware.

Bảo vệ mạng, máy tính và các thiết bị khác kết nối với mạng. Nếu bạn chỉ sử dụng NAS để lưu trữ bản sao lưu tại chỗ, hãy vô hiệu hóa kết nối đến NAS từ các mạng bên ngoài. Nếu NAS của bạn có tường lửa tích hợp, bạn có thể chỉ cho phép kết nối từ các địa chỉ IP của máy chủ mà dữ liệu được sao lưu thường xuyên.

Cập nhật phần mềm hệ thống (Firmware)

Các thiết bị NAS sử dụng phần mềm hệ thống (firmware) hoặc hệ điều hành đặc biệt được thiết kế để hoạt động trên NAS. Phần mềm tống tiền (ransomware) có thể khai thác các lỗ hổng bảo mật của phần mềm để lây nhiễm vào thiết bị và mã hóa tệp tin. Và các hệ điều hành được cài đặt trên thiết bị NAS cũng không phải là ngoại lệ. Hãy cập nhật phần mềm hệ thống (firmware) và các ứng dụng trên NAS thường xuyên để cài đặt các bản vá bảo mật mới nhất, giúp khắc phục các lỗ hổng bảo mật đã được phát hiện trong phần mềm NAS. Việc cài đặt các bản cập nhật bảo mật sẽ giảm thiểu rủi ro bị tấn công bởi phần mềm tống tiền trên các thiết bị NAS. Chức năng cập nhật tự động có thể hữu ích trong trường hợp này. Lưu ý: Các cuộc tấn công ransomware gần đây liên quan đến phần mềm tống tiền eCh0raix đã sử dụng phương pháp tấn công brute-force và khai thác lỗ hổng phần mềm để nhắm vào các thiết bị NAS của QNAP chưa được cập nhật bản vá. Những người dùng sử dụng thông tin đăng nhập yếu và phần mềm chưa được cập nhật đã bị tấn công bởi eCh0raix. Các cuộc tấn công ransomware mới nhất nhắm vào thiết bị NAS còn bao gồm AgeLocker và QSnatch.

Cấu hình cài đặt bảo mật

Nhiều thiết bị NAS có các cài đặt bảo mật tích hợp sẵn rất hữu ích cho việc phòng chống ransomware. Tùy chọn chặn tự động được sử dụng để ngăn chặn các cuộc tấn công brute-force nhằm truy cập vào NAS. Cấu hình phần mềm NAS để chặn các địa chỉ IP có quá nhiều lần đăng nhập bị phát hiện. Bật tính năng ghi nhật ký để phát hiện các lần đăng nhập thất bại. Cấu hình bảo vệ tài khoản cho phép bạn chặn tùy chọn đăng nhập trong khoảng thời gian thích hợp sau khi X lần đăng nhập thất bại trong XX phút. Phòng thủ chống lại truy cập trái phép giúp giảm khả năng xảy ra các cuộc tấn công ransomware nhắm vào các thiết bị NAS. Bật bảo vệ DDoS nếu NAS của bạn được kết nối với internet. Tùy chọn này bảo vệ thiết bị NAS khỏi các cuộc tấn công từ chối dịch vụ phân tán (DDoS), được thiết kế để làm gián đoạn các dịch vụ trực tuyến.

Sử dụng kết nối an toàn

Luôn sử dụng kết nối được mã hóa để truy cập NAS. Bật SSL để các kết nối sử dụng giao thức HTTPS thay vì HTTP khi truy cập giao diện web của NAS. Nếu bạn chia sẻ tệp với người dùng bên ngoài, hãy sử dụng SFTP hoặc FTPS thay vì FTP vì FTP truyền thống không hỗ trợ mã hóa. Khi sử dụng các giao thức mạng không được mã hóa, bên thứ ba có thể thu thập dữ liệu được truyền qua mạng. Mật khẩu được truyền dưới dạng văn bản thuần túy khi sử dụng kết nối không an toàn và không được mã hóa. Sử dụng SSH thay vì Telnet để quản lý NAS của bạn trong giao diện dòng lệnh.

Bảo vệ toàn bộ môi trường

Bảo vệ hiệu quả chống ransomware đòi hỏi một bộ biện pháp toàn diện cho tất cả các thiết bị kết nối với mạng của bạn. Ngay cả một thiết bị không được bảo vệ cũng có thể được sử dụng làm điểm xâm nhập cho ransomware. Cập nhật firmware trên tất cả các thiết bị, cài đặt các bản vá bảo mật trên tất cả các máy. Cấu hình bảo vệ email bằng bộ lọc chống spam vì email spam và lừa đảo là các phương thức lây nhiễm ransomware phổ biến nhất. Cấu hình giám sát để phát hiện cuộc tấn công mạng ransomware càng sớm càng tốt và ngăn chặn việc mã hóa tệp cũng như sự lây lan của ransomware.

Sao lưu dữ liệu

Tội phạm mạng đang tìm kiếm các lỗ hổng mới và cải tiến kỹ thuật tấn công để tấn công người dùng và mã hóa dữ liệu của họ. Các cuộc tấn công ransomware ngày càng tinh vi hơn. Đó là lý do tại sao bạn nên sao lưu dữ liệu thường xuyên. Việc có bản sao lưu cho phép bạn khôi phục dữ liệu trong thời gian ngắn trong trường hợp bị tấn công ransomware hoặc các thảm họa khác dẫn đến mất dữ liệu. Các thiết bị NAS thường được sử dụng làm đích sao lưu nhưng chúng cũng có thể trở thành mục tiêu của ransomware. Vì lý do này, bạn nên tạo các bản sao lưu dựa trên nguyên tắc 3-2-1 ( Quy tắc sao lưu 3-2-1). Hãy sao lưu dữ liệu thường xuyên và tạo nhiều bản sao lưu. Nếu tệp của bạn đã bị mã hóa bởi ransomware, đừng trả tiền chuộc vì việc trả tiền sẽ khuyến khích tội phạm mạng thực hiện thêm các cuộc tấn công.

NAKIVO Backup & Replication là giải pháp bảo vệ dữ liệu toàn diện có thể cài đặt trên NAS và hỗ trợ Sao lưu dữ liệu của bạn vào NAS cùng các thiết bị lưu trữ khác, bao gồm việc tạo bản sao lưu lên băng từ và đám mây. NAKIVO Backup & Replication hỗ trợ sao lưu các máy ảo VMware vSphere, máy ảo Microsoft Hyper-V, các phiên bản Amazon EC2, máy Linux, máy Windows, Microsoft 365 và cơ sở dữ liệu Oracle. Bạn có thể khám phá các tính năng và chức năng đa dạng của NAKIVO Backup & Replication bằng cách tải xuống Phiên bản Miễn phí. Phiên bản Miễn phí cho phép bạn bảo vệ 10 khối lượng công việc và 5 tài khoản Microsoft 365 miễn phí trong một năm!

1 năm bảo vệ dữ liệu miễn phí: NAKIVO Backup & Replication

Triển khai trong vòng 2 phút và bảo vệ dữ liệu trên môi trường ảo, đám mây, vật lý và SaaS. Các tùy chọn sao lưu, nhân bản và khôi phục tức thì.

Tải xuống phiên bản miễn phí

Hãy đọc các bài viết khác trên blog về ransomware để tìm hiểu thêm về đang khắc phục hậu quả của một cuộc tấn công bằng phần mềm tống tiền, cách thức lây lan của ransomware và cách loại bỏ nó.

Kết luận

Cùng với sự phổ biến ngày càng tăng của các thiết bị NAS, đáng tiếc là các cuộc tấn công ransomware nhắm vào NAS cũng đang gia tăng. Để bảo vệ các thiết bị NAS khỏi các cuộc tấn công ransomware, bạn nên triển khai một bộ biện pháp toàn diện. Đặt mật khẩu mạnh, cấu hình tường lửa, thiết lập quyền truy cập, bảo vệ phần mềm trên NAS và các máy tính khác trong mạng của bạn, cài đặt các bản vá bảo mật thường xuyên. Cấu hình bộ lọc email trên máy chủ email trong tổ chức của bạn để ngăn chặn người dùng khỏi các email spam và lừa đảo. Nhưng quan trọng nhất, hãy đảm bảo sao lưu dữ liệu thường xuyên để đảm bảo bạn có thể khôi phục sau một sự cố ransomware.