Los dispositivos NAS son ampliamente utilizados tanto por individuos como por empresas para almacenar grandes cantidades de datos que se acceden a través de una red. También es muy conveniente utilizar NAS como almacenamiento para copias de seguridad y, en muchos casos, los dispositivos NAS están conectados a Internet. Es por eso que los dispositivos NAS son objetivos comunes para los ciberdelincuentes. Algunas versiones de cibersecuestro están diseñadas específicamente para atacar NAS.
Sin embargo, los archivos almacenados en un NAS pueden ser cifrados y corromperse por cualquier cibersecuestro si un ordenador de la red está infectado y tiene acceso al NAS. Esto puede sorprender a muchos usuarios, que creen que NAS es confiable y invulnerable por defecto. Este artículo de blog explica cómo puede protegerse un NAS contra ataques de cibersecuestro. El conjunto de medidas de seguridad incluye medidas anti-cibersecuestro generales además de medidas específicas para NAS.
Cambie las Credenciales en el NAS
Los creadores de cibersecuestro están bien informados sobre los nombres de usuario y contraseñas por defecto en diferentes dispositivos NAS. Administrador o admin son los nombres de usuario más populares para las cuentas de administrador. Si no se cambian el nombre de usuario y la contraseña en un dispositivo, los atacantes pueden acceder fácilmente al NAS. Cuando los usuarios de administrador establecen sus propias contraseñas, los atacantes pueden utilizar herramientas automatizadas para llevar a cabo ataques de fuerza bruta y diccionarios para adivinar la contraseña y obtener acceso completo al NAS.
En la mayoría de los casos, no puedes eliminar una cuenta de administrador integrada en un dispositivo NAS. Lo mejor es crear una nueva cuenta de usuario en tu NAS y establecer un nombre de usuario y contraseña fuertes que sean difíciles de adivinar. Luego, añade todos los permisos administrativos para esta cuenta (todos los permisos disponibles para la cuenta de administrador predeterminada). Cuando hayas terminado, desactiva la cuenta de administrador predeterminada en tu NAS.
Puedes crear cuentas para usuarios que acceden directamente a datos compartidos en NAS, o puedes unir tu NAS al dominio de Active Directory y utilizar cuentas de usuario de Active Directory para compartir carpetas y acceder a ellas.
Asegúrate de usar contraseñas fuertes para los usuarios que acceden a datos compartidos. Una contraseña fuerte contiene al menos 8 caracteres incluyendo letras mayúsculas, minúsculas, dígitos y caracteres especiales (como %, $ & #).
Los datos en un NAS pueden ser cifrados por ransomware si un usuario tiene acceso de escritura desde un ordenador infectado a una carpeta compartida en el NAS. Los datos accesibles en el NAS también pueden ser cifrados por ransomware.
A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.
Otra buena práctica es establecer diferentes niveles de acceso para diferentes categorías de usuarios. Los usuarios que requieren acceso de solo lectura no deben tener permisos de escritura para aumentar aún más la seguridad.
Configurar el Firewall
Si tu NAS debe ser accesible desde redes externas o internet, configura adecuadamente el firewall en tu gateway para permitir el acceso solo desde direcciones IP de confianza. De esta manera, previenes que los atacantes escaneen y detecten tu dispositivo NAS en internet. La mejor opción es ubicar tu NAS detrás de un firewall NAT.
Hay dos enfoques para permitir el acceso a usuarios fuera de su red: el reenvío de puertos y una red privada virtual (VPN). Si utiliza el reenvío de puertos para acceder a su NAS desde redes externas, utilice números de puerto personalizados (no estándar) para los protocolos utilizados para acceder a los datos. Por ejemplo, utilice el puerto TCP 8122 en lugar del 22. Los atacantes suelen escanear puertos estándar para detectar puertos abiertos y comenzar ataques de fuerza bruta/diccionario para comprometer cuentas y obtener acceso al NAS. Sin embargo, también se pueden utilizar escáneres que escanean todos los puertos para encontrar puertos abiertos.
Permita el acceso a su NAS abriendo solo los puertos necesarios en lugar de todos los puertos. Por ejemplo, si utiliza SMB para transferir archivos a través de LAN y SFTP para transferir archivos a través de WAN, desactive otros servicios y protocolos de archivos no utilizados. Opte por utilizar la última versión del protocolo SMB (CIFS) en redes locales debido al mayor nivel de seguridad.
También debe desactivar la conectividad remota. En Synology NAS, desactive la función Quick Connect destinada a conectarse al NAS desde cualquier dirección IP de WAN sin configurar el reenvío de puertos. Al desactivar esta función, se reduce la cantidad de formas de conectarse al NAS, lo que hace menos probable que el NAS se vea comprometido y que los datos se cifren mediante ransomware.
Proteja su red, computadoras y otros dispositivos conectados a la red. Si utiliza su NAS solo para almacenar copias de seguridad en las instalaciones, desactive las conexiones a su NAS desde redes externas. Si hay un firewall incorporado en su NAS, puede habilitar conexiones solo desde direcciones IP de servidores en los que se realiza una copia de seguridad regularmente de los datos.
Actualizar Firmware
Los dispositivos NAS tienen firmware o un sistema operativo especial adoptado para funcionar en NAS. El ransomware puede explotar las vulnerabilidades de seguridad del software para infectar un dispositivo y cifrar archivos. Y los sistemas operativos instalados en dispositivos NAS no son una excepción. Actualice el firmware (sistemas operativos) y las aplicaciones NAS regularmente para instalar las últimas actualizaciones de seguridad que corrijan las vulnerabilidades de software de NAS descubiertas. La instalación de actualizaciones de seguridad reduce el riesgo de ataques de ransomware en dispositivos NAS. Las actualizaciones automáticas pueden ser útiles en este caso.
Nota: Los ataques de ransomware recientes que involucran al ransomware eCh0raix utilizaron fuerza bruta y vulnerabilidades de software para apuntar a dispositivos NAS QNAP que no están parcheados. Los usuarios que utilizaban credenciales débiles y software no actualizado fueron atacados con eCh0raix. Los ataques de ransomware más recientes que apuntan a dispositivos NAS también incluyeron AgeLocker y QSnatch.
Configurar configuraciones de seguridad
Muchos dispositivos NAS tienen configuraciones de seguridad integradas que son útiles para la protección contra el cibersecuestro. La opción de bloqueo automático se utiliza para prevenir ataques de fuerza bruta para obtener acceso al NAS. Configure el software del NAS para bloquear direcciones IP de las que se detectan demasiados intentos de inicio de sesión. Habilite el registro para detectar intentos fallidos de inicio de sesión. La configuración de la protección de cuentas le permite bloquear la opción de inicio de sesión durante el tiempo adecuado después de X intentos fallidos de inicio de sesión en XX minutos. La defensa contra el acceso no autorizado reduce la probabilidad de ataques de cibersecuestro dirigidos a los dispositivos NAS. Habilite la protección DDoS si su NAS está expuesto a Internet. Esta opción protege a los dispositivos NAS contra ataques de denegación de servicio distribuida, que están diseñados para interrumpir servicios en línea.
Utilice una Conexión Segura
Utilice siempre conexiones cifradas con su NAS. Habilite SSL para las conexiones para usar el protocolo HTTPS en lugar de HTTP para acceder a la interfaz web del NAS. Si comparte archivos con usuarios externos, use SFTP o FTPS en lugar de FTP porque el FTP clásico no soporta cifrado. Cuando utilice protocolos de red sin cifrado, una tercera parte puede capturar datos transferidos a través de la red. Las contraseñas se transfieren como texto plano cuando se utiliza una conexión no segura y no cifrada. Use SSH y no Telnet para administrar su NAS en la interfaz de línea de comandos.
Proteger todo el Entorno
La protección eficaz contra el cibersecuestro implica un conjunto completo de medidas para todos los dispositivos conectados a sus redes. Incluso un solo dispositivo sin protección puede ser usado como punto de entrada para el cibersecuestro. Actualice el firmware de todos los dispositivos, instale las actualizaciones de seguridad en todas las máquinas. Configure la protección de correo electrónico usando filtros anti-spam, ya que los correos electrónicos de spam y de phishing son los métodos de infección de cibersecuestro más populares. Configure el monitoreo para detectar un ataque cibernético de cibersecuestro lo antes posible y detener la encriptación de archivos y la propagación del cibersecuestro.
Realizar copias de seguridad de los datos
Los cibercriminales buscan nuevas vulnerabilidades y mejoran técnicas de ataque para atacar a los usuarios y encriptar sus datos. Los ataques de cibersecuestro se hacen más sofisticados. Es por eso que debería realizar copias de seguridad de sus datos regularmente. Tener una copia de seguridad le permite restaurar los datos en poco tiempo en caso de un ataque de cibersecuestro u otras catástrofes que provocan pérdida de datos. Normalmente, los dispositivos NAS se utilizan como destinos de copia de seguridad, pero también pueden ser objetivos de cibersecuestro. Por eso debería crear copias de seguridad basadas en la regla de copia de seguridad 3-2-1. Realice copias de seguridad de sus datos regularmente y cree varias copias de respaldo. Si sus archivos se han encriptado con cibersecuestro, no pague el rescate porque la liquidación incentiva a los cibercriminales a lanzar más ataques.
NAKIVO Backup & Replication es una solución universal de protección de datos que se puede instalar en NAS y puede hacer copias de seguridad de sus datos en NAS y en otros dispositivos de almacenamiento, incluida la creación de copias de seguridad en cinta y en la nube. NAKIVO Backup & Replication admite la copia de seguridad de máquinas virtuales VMware vSphere, máquinas virtuales Microsoft Hyper-V, instancias de Amazon EC2, máquinas Linux, máquinas Windows, Microsoft 365 y bases de datos Oracle. Puede explorar varias características y funcionalidades de NAKIVO Backup & Replication simplemente descargando la Edición Gratuita. ¡La Edición Gratuita le permite proteger 10 cargas de trabajo y 5 cuentas de Microsoft 365 de forma gratuita durante un año!
Lea otras publicaciones de blog sobre ransomware para obtener más información sobre la recuperación de un ataque de ransomware, cómo se propaga el ransomware y cómo eliminarlo.
Conclusión
Con la creciente popularidad de los dispositivos NAS, lamentablemente también está aumentando el ransomware que los ataca. Para proteger los dispositivos NAS contra los ataques de ransomware, debe implementar un conjunto completo de medidas. Establezca contraseñas seguras, configure el cortafuegos, configure los permisos, proteja el software en NAS y en otras computadoras de su red, instale regularmente parches de seguridad. Configure el filtrado de correo electrónico en los servidores de correo electrónico de su organización para prevenir a los usuarios contra correos no deseados y correos electrónicos de phishing. Pero lo más importante, asegúrese de hacer copias de seguridad de sus datos regularmente para garantizar que pueda recuperarse después de un incidente de ransomware.
Source:
https://www.nakivo.com/blog/ransomware-attacks-on-nas-devices/