Ransomware-Angriffe auf NAS-Geräte

NAS-Geräte werden sowohl von Einzelpersonen als auch von Unternehmen weit verbreitet genutzt, um große Datenmengen zu speichern, die über ein Netzwerk zugänglich sein sollen. Es ist auch sehr praktisch, NAS als Speicher für Backups zu verwenden, und in vielen Fällen sind NAS-Geräte mit dem Internet verbunden. Deshalb sind NAS-Geräte häufige Ziele für Cyberkriminelle. Einige Versionen von Ransomware sind speziell darauf ausgelegt, NAS anzugreifen.

Allerdings können Dateien, die auf einem NAS gespeichert sind, von jeder Ransomware verschlüsselt und beschädigt werden, wenn ein Computer im Netzwerk infiziert ist und Zugriff auf das NAS hat. Dies kann für viele Benutzer überraschend sein, die glauben, dass NAS standardmäßig zuverlässig und unverwundbar ist. In diesem Blogbeitrag wird erklärt, wie Sie NAS vor Ransomware-Angriffen schützen können. Das Sicherheitsmaßnahmenpaket umfasst allgemeine Anti-Ransomware-Maßnahmen sowie NAS-spezifische Maßnahmen.

Ändern Sie die Zugangsdaten auf dem NAS

Ransomware-Ersteller kennen die Standardadministrator-Benutzernamen und -Kennwörter verschiedener NAS-Geräte gut. Administrator oder admin sind die beliebtesten Benutzernamen für Admin-Konten. Wenn der Benutzername und das Passwort auf einem Gerät nicht geändert werden, können Angreifer leicht auf das NAS zugreifen. Wenn Administratoren ihre eigenen Passwörter festlegen, können Angreifer automatisierte Tools verwenden, um Bruteforce-Angriffe durchzuführen, und Wörterbücher, um das Passwort zu erraten und vollen Zugriff auf das NAS zu erhalten.

In den meisten Fällen können Sie ein eingebautes Administrator-Konto auf einem NAS-Gerät nicht löschen. Das Beste ist, ein neues Benutzerkonto auf Ihrem NAS zu erstellen und einen starken Benutzernamen und ein Passwort festzulegen, die schwer zu erraten sind. Fügen Sie dann diesem Konto alle administrativen Berechtigungen hinzu (alle Berechtigungen, die für das Standard-Admin-Konto verfügbar sind). Wenn Sie fertig sind, deaktivieren Sie das Standard-Admin-Konto auf Ihrem NAS.

Sie können Konten für Benutzer erstellen, die direkt auf freigegebene Daten auf dem NAS zugreifen, oder Sie können Ihr NAS an die Active Directory-Domäne anschließen und Active Directory-Benutzerkonten verwenden, um Ordner freizugeben und darauf zuzugreifen.

Stellen Sie sicher, dass Sie starke Passwörter für Benutzer verwenden, die auf freigegebene Daten zugreifen. Ein starkes Passwort enthält mindestens 8 Zeichen, darunter Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (wie %, $ & #).

Daten auf einem NAS können von Ransomware verschlüsselt werden, wenn ein Benutzer Schreibzugriff von einem infizierten Computer auf einen freigegebenen Ordner auf dem NAS hat. Die zugänglichen Daten auf dem NAS können auch von Ransomware verschlüsselt werden.

A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS  if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.

Eine weitere bewährte Methode ist die Festlegung unterschiedlicher Zugriffsstufen für verschiedene Benutzerkategorien. Benutzer, die nur Lesezugriff benötigen, sollten keine Schreibberechtigungen haben, um die Sicherheit weiter zu erhöhen.

Firewall konfigurieren

Wenn Ihr NAS von externen Netzwerken oder dem Internet aus zugänglich sein muss, konfigurieren Sie die Firewall an Ihrem Gateway ordnungsgemäß, um den Zugriff nur von vertrauenswürdigen IP-Adressen zuzulassen. Auf diese Weise verhindern Sie, dass Angreifer Ihr NAS-Gerät über das Internet scannen und erkennen. Die beste Option ist, Ihr NAS hinter einer NAT-Firewall zu platzieren.

Es gibt zwei Ansätze, um Benutzern außerhalb Ihres Netzwerks den Zugriff zu ermöglichen: Portweiterleitung und ein virtuelles privates Netzwerk (VPN). Wenn Sie Portweiterleitung verwenden, um von externen Netzwerken auf Ihre NAS zuzugreifen, verwenden Sie benutzerdefinierte (nicht standardmäßige) Portnummern für die Protokolle, die zum Zugriff auf Daten verwendet werden. Verwenden Sie beispielsweise den TCP-Port 8122 anstelle von 22. Angreifer scannen in der Regel Standardports, um offene Ports zu erkennen, und starten dann Brute-Force-/Wörterbuchangriffe, um Konten zu kompromittieren und Zugriff auf die NAS zu erhalten. Scanner, die alle Ports scannen, können jedoch ebenfalls verwendet werden, um offene Ports zu finden.

Erlauben Sie den Zugriff auf Ihre NAS, indem Sie nur die benötigten Ports öffnen, anstatt alle Ports. Deaktivieren Sie beispielsweise andere ungenutzte Dienste und Dateiprotokolle, wenn Sie SMB zum Übertragen von Dateien über LAN und SFTP zum Übertragen von Dateien über WAN verwenden. Entscheiden Sie sich aufgrund des höheren Sicherheitsniveaus für die Verwendung der neuesten Version des SMB (CIFS)-Protokolls in lokalen Netzwerken.

Sie sollten auch die Remote-Konnektivität deaktivieren. Auf Synology NAS deaktivieren Sie die Quick Connect-Funktion, mit der eine Verbindung zur NAS von jeder WAN-IP-Adresse hergestellt werden kann, ohne Portweiterleitung zu konfigurieren. Durch Deaktivieren dieser Funktion wird die Anzahl der Möglichkeiten reduziert, um eine Verbindung zur NAS herzustellen, wodurch es unwahrscheinlicher wird, dass die NAS kompromittiert und Daten von Ransomware verschlüsselt werden.

Schützen Sie Ihr Netzwerk, Computer und andere mit dem Netzwerk verbundene Geräte. Wenn Sie Ihre NAS nur verwenden, um Backups lokal zu speichern, deaktivieren Sie Verbindungen zu Ihrer NAS von externen Netzwerken. Wenn auf Ihrer NAS eine integrierte Firewall vorhanden ist, können Sie Verbindungen nur von IP-Adressen der Server aktivieren, auf denen Daten regelmäßig gesichert werden.

Aktualisieren der Firmware

NAS-Geräte verfügen über Firmware oder ein spezielles Betriebssystem, das für die Arbeit auf NAS-Geräten entwickelt wurde. Ransomware kann Sicherheitslücken in der Software ausnutzen, um ein Gerät zu infizieren und Dateien zu verschlüsseln. Auch Betriebssysteme, die auf NAS-Geräten installiert sind, bilden keine Ausnahme. Aktualisieren Sie regelmäßig die NAS-Firmware (Betriebssysteme) und Anwendungen, um die neuesten Sicherheitspatches zu installieren, die entdeckte Sicherheitslücken in der NAS-Software beheben. Die Installation von Sicherheitsupdates verringert das Risiko von Ransomware-Angriffen auf NAS-Geräte. Automatische Updates können in diesem Fall nützlich sein.

Hinweis: Bei kürzlich aufgetretenen Ransomware-Angriffen, die die eCh0raix-Ransomware einsetzten, wurden Brute-Force- und Software-Schwachstellen genutzt, um QNAP NAS-Geräte anzugreifen, die nicht gepatcht waren. Benutzer, die schwache Anmeldeinformationen und nicht gepatchte Software verwendeten, wurden mit eCh0raix angegriffen. Die neuesten Ransomware-Angriffe auf NAS-Geräte umfassten auch AgeLocker und QSnatch.

Konfigurieren von Sicherheitseinstellungen

Viele NAS-Geräte verfügen über integrierte Sicherheitseinstellungen, die nützlich für den Schutz vor Ransomware sind. Die Option „Automatisch blockieren“ wird verwendet, um Brute-Force-Angriffe zu verhindern, um Zugriff auf das NAS zu erhalten. Konfigurieren Sie die NAS-Software so, dass IP-Adressen blockiert werden, von denen zu viele Anmeldeversuche erkannt wurden. Aktivieren Sie die Protokollierung, um fehlgeschlagene Anmeldeversuche zu erkennen. Durch die Konfiguration des Kontoschutzes können Sie die Anmeldeoption für die angemessene Zeit sperren, nachdem X Anmeldeversuche für XX Minuten fehlgeschlagen sind. Die Verteidigung gegen unbefugten Zugriff verringert die Wahrscheinlichkeit von Ransomware-Angriffen auf NAS-Geräte. Aktivieren Sie den DDoS-Schutz, wenn Ihr NAS dem Internet ausgesetzt ist. Diese Option schützt NAS-Geräte vor verteilten Denial-of-Service-Angriffen, die darauf abzielen, Online-Dienste zu stören.

Verwenden Sie eine sichere Verbindung

Verwenden Sie immer verschlüsselte Verbindungen zu Ihrem NAS. Aktivieren Sie SSL für Verbindungen, um das HTTPS-Protokoll anstelle von HTTP zum Zugriff auf die NAS-Webbenutzeroberfläche zu verwenden. Wenn Sie Dateien mit externen Benutzern teilen, verwenden Sie SFTP oder FTPS anstelle von FTP, da das klassische FTP keine Verschlüsselung unterstützt. Wenn Sie Netzwerkprotokolle ohne Verschlüsselung verwenden, kann ein Dritter die über das Netzwerk übertragenen Daten erfassen. Passwörter werden im Klartext übertragen, wenn eine unsichere, unverschlüsselte Verbindung verwendet wird. Verwenden Sie SSH und nicht Telnet, um Ihr NAS in der Befehlszeilenschnittstelle zu verwalten.

Schützen Sie die gesamte Umgebung

Effektiver Schutz vor Ransomware umfasst ein komplettes Set an Maßnahmen für alle Geräte, die mit Ihren Netzwerken verbunden sind. Schon ein ungeschütztes Gerät kann als Eintrittspunkt für Ransomware genutzt werden. Aktualisieren Sie die Firmware auf allen Geräten, installieren Sie Sicherheitspatches auf allen Maschinen. Konfigurieren Sie den E-Mail-Schutz mit Anti-Spam-Filtern, da Spam- und Phishing-E-Mails die beliebtesten Methoden für Ransomware-Infektionen sind. Konfigurieren Sie eine Überwachung, um einen Ransomware-Cyberangriff so früh wie möglich zu erkennen und die Dateiverschlüsselung sowie die Ausbreitung von Ransomware zu stoppen.

Backup der Daten

Die Cyberkriminellen suchen nach neuen Schwachstellen und verbessern ihre Angriffstechniken, um Benutzer anzugreifen und ihre Daten zu verschlüsseln. Ransomware-Angriffe werden immer raffinierter. Daher sollten Sie regelmäßig Ihre Daten sichern. Ein Backup ermöglicht es Ihnen, Daten im Falle eines Ransomware-Angriffs oder anderer Katastrophen, die zu Datenverlust führen, schnell wiederherzustellen. NAS-Geräte werden in der Regel als Backup-Ziele verwendet, können aber auch zum Ziel von Ransomware werden. Aus diesem Grund sollten Sie Backup-Kopien gemäß der 3-2-1 Backup-Regel erstellen. Sichern Sie regelmäßig Ihre Daten und erstellen Sie mehrere Backup-Kopien. Wenn Ihre Dateien mit Ransomware verschlüsselt wurden, zahlen Sie kein Lösegeld, da das Bezahlen Cyberkriminelle dazu anregt, weitere Angriffe zu starten.

NAKIVO Backup & Replication ist eine universelle Datenschutzlösung, die auf NAS installiert werden kann und Ihre Daten auf NAS und andere Speichermedien sicherstellt, einschließlich der Erstellung von Backup-Kopien auf Band und im Cloud. NAKIVO Backup & Replication unterstützt die Sicherung von VMware vSphere-VM, Microsoft Hyper-V-VM, Amazon EC2-Instanzen, Linux-Rechnern, Windows-Rechnern, Microsoft 365 und Oracle-Datenbanken. Sie können die verschiedenen Features und Funktionen von NAKIVO Backup & Replication einfach durch die Download der Free Edition erkunden. Die Free Edition ermöglicht es Ihnen, 10 Workloads und 5 Microsoft 365-Konten kostenlos für ein Jahr zu schützen!

Lesen Sie weitere Blogbeiträge über Ransomware, um mehr über die Wiederherstellung nach einem Ransomware-Angriff, die Verbreitung von Ransomware und die Entfernung von diesem zu erfahren.

Schlussfolgerung

Mit der zunehmenden Popularität von NAS-Geräten nehmen ransomware, die auf NAS abzielen, leider auch zu. Um NAS-Geräte vor Ransomware-Angriffen zu schützen, sollten Sie ein umfassendes Set von Maßnahmen implementieren. Setzen Sie starke Passwörter, konfigurieren Sie die Firewall, stellen Sie die Berechtigungen ein und schützen Sie die Software auf NAS und anderen Computern in Ihrer Netzwerk. Installieren Sie Sicherheitspakete regelmäßig. Konfigurieren Sie E-Mail-Filter auf Ihren E-Mail-Servern, um die Nutzer gegen Spam und Phishing-E-Mails zu schützen. Aber vor allem sollten Sie Ihre Daten regelmäßig sichern, um sicherzustellen, dass Sie nach einem Ransomware-Ereignis wiederherstellen können.