I dispositivi NAS sono ampiamente utilizzati sia da singoli che da aziende per memorizzare grandi quantità di dati da accedere tramite una rete. È anche molto conveniente utilizzare NAS come archivio per i backup e, in molti casi, i dispositivi NAS sono collegati a Internet. Ecco perché i dispositivi NAS sono bersagli comuni per i criminali informatici. Alcune versioni di ransomware sono progettate specificamente per attaccare i NAS.
Tuttavia, i file memorizzati su un NAS possono essere crittografati e danneggiati da qualsiasi ransomware se un computer nella rete è infetto e ha accesso al NAS. Questo potrebbe sorprendere molti utenti, che credono che il NAS sia affidabile e invulnerabile per impostazione predefinita. Questo post del blog spiega come proteggere il NAS dagli attacchi di ransomware. Il set di misure di sicurezza include misure anti-ransomware generali oltre a misure specifiche per i NAS.
Cambia le credenziali sul NAS
I creatori di ransomware sono ben consapevoli dei nomi utente e delle password amministrative predefinite su diversi dispositivi NAS. Amministratore o admin sono i nomi utente più popolari per gli account amministrativi. Se nome utente e password non vengono cambiati su un dispositivo, gli attaccanti possono facilmente accedere al NAS. Quando gli utenti amministratori impostano le proprie password, gli attaccanti possono utilizzare strumenti automatizzati per eseguire attacchi di forza bruta e dizionari per indovinare la password e ottenere pieno accesso al NAS.
Nella maggior parte dei casi, non è possibile eliminare un account amministratore predefinito su un dispositivo NAS. La cosa migliore da fare è creare un nuovo account utente sul tuo NAS e impostare un nome utente e una password robusti e difficili da indovinare. Quindi aggiungi tutti i permessi amministrativi per questo account (tutti i permessi disponibili per l’account amministratore predefinito). Quando hai finito, disabilita l’account amministratore predefinito sul tuo NAS.
Puoi creare account per gli utenti che accedono direttamente ai dati condivisi sul NAS, oppure puoi unire il tuo NAS al dominio Active Directory e utilizzare gli account utente di Active Directory per condividere cartelle e accedervi.
Assicurati di utilizzare password robuste per gli utenti che accedono ai dati condivisi. Una password robusta contiene almeno 8 caratteri, tra cui lettere maiuscole, minuscole, numeri e caratteri speciali (come %, $ & #).
I dati su un NAS possono essere crittografati da ransomware se un utente ha accesso in scrittura da un computer infetto a una cartella condivisa sul NAS. Anche i dati accessibili sul NAS possono essere crittografati da ransomware.
A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.
Un’altra buona pratica è impostare diversi livelli di accesso per diverse categorie di utenti. Gli utenti che richiedono solo accesso in lettura non dovrebbero avere permessi di scrittura per aumentare ulteriormente la sicurezza.
Configura il Firewall
Se il tuo NAS deve essere accessibile da reti esterne o da Internet, configura correttamente il firewall sul tuo gateway per consentire l’accesso solo da indirizzi IP affidabili. In questo modo impedisci agli attaccanti di scannerizzare e individuare il dispositivo NAS su Internet. La migliore opzione è posizionare il tuo NAS dietro un firewall NAT.
Ci sono due approcci per consentire l’accesso agli utenti al di fuori della tua rete: l’instradamento delle porte e una rete privata virtuale (VPN). Se utilizzi l’instradamento delle porte per accedere al tuo NAS da reti esterne, utilizza numeri di porta personalizzati (non standard) per i protocolli utilizzati per accedere ai dati. Ad esempio, utilizza la porta TCP 8122 invece della 22. Gli attaccanti di solito scansionano le porte standard per rilevare porte aperte e avviare attacchi di forza bruta/dizionario per compromettere gli account e ottenere accesso al NAS. Tuttavia, possono essere utilizzati anche scanner che scansionano tutte le porte per trovare porte aperte.
Consenti l’accesso al tuo NAS aprendo solo le porte necessarie invece di tutte le porte. Ad esempio, se utilizzi SMB per trasferire file su LAN e SFTP per trasferire file su WAN, disabilita altri servizi e protocolli di file non utilizzati. Opta per l’utilizzo della versione più recente del protocollo SMB (CIFS) nelle reti locali a causa del livello più elevato di sicurezza.
Dovresti anche disabilitare la connettività remota. Sul Synology NAS, disabilita la funzione Quick Connect destinata a connettersi al NAS da qualsiasi indirizzo IP WAN senza configurare l’instradamento delle porte. Disabilitando questa funzione si riducono il numero di modi per connettersi al NAS, rendendo quindi meno probabile che il NAS venga compromesso e i dati criptati da ransomware.
Proteggi la tua rete, computer e altri dispositivi connessi alla rete. Se utilizzi il tuo NAS solo per archiviare backup in loco, disabilita le connessioni al tuo NAS da reti esterne. Se c’è un firewall integrato sul tuo NAS, puoi abilitare le connessioni solo dagli indirizzi IP dei server su cui vengono regolarmente eseguiti i backup dei dati.
Aggiornare il firmware
I dispositivi NAS hanno un firmware o un sistema operativo speciale adottato per funzionare su NAS. Il ransomware può sfruttare le vulnerabilità di sicurezza del software per infettare un dispositivo e crittografare file. E i sistemi operativi installati sui dispositivi NAS non sono un’eccezione. Aggiorna regolarmente il firmware NAS (sistemi operativi) e le applicazioni per installare le ultime patch di sicurezza che correggono le vulnerabilità del software NAS scoperte. L’installazione di aggiornamenti di sicurezza riduce il rischio di attacchi ransomware sui dispositivi NAS. Gli aggiornamenti automatici possono essere utili in questo caso.
Nota: Gli attacchi ransomware recenti che coinvolgono il ransomware eCh0raix hanno utilizzato la forza bruta e le vulnerabilità del software per prendere di mira i dispositivi NAS QNAP non aggiornati. Gli utenti che utilizzavano credenziali deboli e software non aggiornati sono stati attaccati con eCh0raix. Gli ultimi attacchi ransomware che prendono di mira i dispositivi NAS includono anche AgeLocker e QSnatch.
Configurare le impostazioni di sicurezza
Molti dispositivi NAS hanno impostazioni di sicurezza integrate che sono utili per la protezione da ransomware. L’opzione di blocco automatico viene utilizzata per prevenire attacchi di forza bruta per ottenere accesso al NAS. Configurare il software NAS per bloccare gli indirizzi IP da cui vengono rilevati troppi tentativi di accesso. Abilitare la registrazione per rilevare i tentativi di accesso falliti. La configurazione della protezione dell’account consente di bloccare l’opzione di accesso per il tempo appropriato dopo X tentativi di accesso falliti per XX minuti. La difesa contro l’accesso non autorizzato riduce la probabilità di attacchi ransomware mirati ai dispositivi NAS. Abilitare la protezione DDoS se il NAS è esposto a Internet. Questa opzione protegge i dispositivi NAS dagli attacchi di negazione del servizio distribuiti, che sono progettati per interrompere i servizi online.
Utilizza una connessione sicura
Utilizza sempre connessioni crittografate per il tuo NAS. Abilita SSL per le connessioni per utilizzare il protocollo HTTPS invece di HTTP per accedere all’interfaccia web del NAS. Se condividi file con utenti esterni, utilizza SFTP o FTPS invece di FTP perché il classico FTP non supporta la crittografia. Quando utilizzi protocolli di rete senza crittografia, un terzo può catturare i dati trasferiti sulla rete. Le password vengono trasferite come testo normale quando si utilizza una connessione non sicura e non crittografata. Utilizza SSH e non Telnet per gestire il tuo NAS nell’interfaccia della riga di comando.
Proteggi l’intero ambiente
La protezione efficace dal ransomware prevede un insieme completo di misure per tutti i dispositivi connessi alle tue reti. Anche un solo dispositivo non protetto può essere usato come punto di ingresso per un attacco ransomware. Aggiorna il firmware su tutti i dispositivi, installa patch di sicurezza su tutte le macchine. Configura la protezione email utilizzando filtri anti-spam perché le email spam e phishing sono i metodi più comuni di infezione da ransomware. Imposta un monitoraggio per rilevare un attacco cibernetico di ransomware il prima possibile e fermare la crittografia dei file e la diffusione del ransomware.
Effettua il backup dei dati
I cybercriminali sono alla ricerca di nuove vulnerabilità e migliorano le tecniche di attacco per colpire gli utenti e crittografare i loro dati. Gli attacchi ransomware diventano sempre più sofisticati. Ecco perché dovresti eseguire il backup dei tuoi dati regolarmente. Avere un backup consente di ripristinare i dati in poco tempo in caso di attacco ransomware o altri eventi disastrosi che comportano la perdita di dati. I dispositivi NAS vengono comunemente usati come destinazioni di backup, ma possono anch’essi essere colpiti dal ransomware. Per questo motivo dovresti creare copie di backup basate sulla regola del backup 3-2-1. Effettua il backup dei tuoi dati regolarmente e crea più copie di backup. Se i tuoi file sono stati crittografati con un ransomware, non pagare il riscatto perché incentivare i cybercriminali a lanciare ulteriori attacchi.
NAKIVO Backup & Replication è una soluzione di protezione dati universale che può essere installata su NAS e può fare il backup dei tuoi dati su NAS e altri storage, inclusa la creazione di copie di backup su nastro e nel cloud. NAKIVO Backup & Replication supporta il backup di VMware vSphere VMs, Microsoft Hyper-V VMs, istanze di Amazon EC2, macchine Linux, macchine Windows, Microsoft 365 e database Oracle. Puoi esplorare varie funzionalità e caratteristiche di NAKIVO Backup & Replication semplicemente scaricando la Free Edition. La Free Edition ti permette di proteggere 10 workload e 5 account Microsoft 365 gratuitamente per un anno!
Leggi altri articoli del blog riguardanti il ransomware per imparare di più su come recuperare da un attacco di ransomware, come il ransomware si diffonde e come lo rimuovere.
Conclusione
Con la crescente popolarità dei dispositivi NAS, il ransomware che mira i NAS sta anche aumentando, purtroppo. Per proteggere i dispositivi NAS contro gli attacchi di ransomware, dovresti implementare un insieme completo di misure. Imposta password forti, configura il firewall, configura i permessi, protegli il software su NAS e su altri computer della tua rete, installa patch di sicurezza regolarmente. Configura il filtraggio email sui server email dell’organizzazione per proteggere gli utenti contro email spam e di phishing. Ma soprattutto, assicurati di fare il backup dei tuoi dati regolarmente per assicurarti di poter ripristinare dopo un incidente di ransomware.
Source:
https://www.nakivo.com/blog/ransomware-attacks-on-nas-devices/