Ransomware-aanvallen op NAS-apparaten

NAS-apparaten worden veel gebruikt door zowel individuen als bedrijven om grote hoeveelheden gegevens op te slaan die via een netwerk toegankelijk zijn. Het is ook erg handig om NAS te gebruiken als opslag voor back-ups en in veel gevallen zijn NAS-apparaten verbonden met het internet. Daarom zijn NAS-apparaten veelvoorkomende doelwitten voor cybercriminelen. Sommige ransomware-versies zijn specifiek ontworpen om NAS aan te vallen.

Echter, bestanden die zijn opgeslagen op een NAS kunnen worden versleuteld en beschadigd door elke ransomware als een computer in het netwerk geïnfecteerd is en toegang heeft tot de NAS. Dit kan voor veel gebruikers als een verrassing komen, die denken dat NAS standaard betrouwbaar en onkwetsbaar is. In deze blogpost wordt uitgelegd hoe je NAS kunt beschermen tegen ransomware-aanvallen. De reeks beveiligingsmaatregelen omvat algemene anti-ransomware-maatregelen in aanvulling op NAS-specifieke maatregelen.

Wijzig referenties op NAS

Ransomware-makers zijn goed op de hoogte van de standaard beheerdersgebruikersnamen en wachtwoorden op verschillende NAS-apparaten. Beheerder of admin zijn de meest populaire gebruikersnamen voor beheerdersaccounts. Als de gebruikersnaam en het wachtwoord niet worden gewijzigd op een apparaat, kunnen aanvallers gemakkelijk toegang krijgen tot de NAS. Wanneer beheerders hun eigen wachtwoorden instellen, kunnen aanvallers geautomatiseerde tools gebruiken om brute-force-aanvallen uit te voeren en woordenboeken om het wachtwoord te raden en volledige toegang tot de NAS te krijgen.

In de meeste gevallen kunt u geen ingebouwd beheerdersaccount op een NAS-apparaat verwijderen. Het beste wat u kunt doen is een nieuw gebruikersaccount maken op uw NAS en een sterk gebruikersnaam en wachtwoord instellen die moeilijk te raden zijn. Voeg vervolgens alle beheerdersrechten toe voor dit account (alle rechten die beschikbaar zijn voor het standaard beheerdersaccount). Wanneer dit is voltooid, schakelt u het standaard beheerdersaccount op uw NAS uit.

U kunt accounts maken voor gebruikers die rechtstreeks toegang hebben tot gedeelde gegevens op NAS, of u kunt uw NAS toevoegen aan het Active Directory-domein en Active Directory-gebruikersaccounts gebruiken om mappen te delen en er toegang toe te krijgen.

Zorg ervoor dat u sterke wachtwoorden gebruikt voor gebruikers die gedeelde gegevens openen. Een sterk wachtwoord bevat minimaal 8 tekens, inclusief hoofdletters, kleine letters, cijfers en speciale tekens (zoals %, $ & #).

Gegevens op een NAS kunnen worden versleuteld door ransomware als een gebruiker schrijftoegang heeft vanaf een geïnfecteerde computer naar een gedeelde map op de NAS. Ook kunnen de toegankelijke gegevens op de NAS worden versleuteld door ransomware.

A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS  if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.

Nog een goede praktijk is om verschillende toegangsniveaus in te stellen voor verschillende categorieën gebruikers. Gebruikers die alleen leestoegang nodig hebben, mogen geen schrijfrechten hebben om de beveiliging verder te verhogen.

Configureer Firewall

Als uw NAS toegankelijk moet zijn vanaf externe netwerken of het internet, configureer dan de firewall op uw gateway correct om alleen toegang toe te staan vanaf vertrouwde IP-adressen. Op deze manier voorkomt u dat aanvallers uw NAS-apparaat over het internet scannen en detecteren. De beste optie is om uw NAS achter een NAT-firewall te plaatsen.

Er zijn twee benaderingen om toegang te verlenen aan gebruikers buiten uw netwerk: poortdoorsturing en een virtueel particulier netwerk (VPN). Als u poortdoorsturing gebruikt om toegang te krijgen tot uw NAS vanaf externe netwerken, gebruik dan aangepaste (niet-standaard) poortnummers voor protocollen die worden gebruikt om gegevens te benaderen. Gebruik bijvoorbeeld poort TCP 8122 in plaats van 22. Aanvallers scannen meestal standaardpoorten om open poorten te detecteren en beginnen met brute-force/dictionary-aanvallen om accounts te compromitteren en toegang te krijgen tot de NAS. Echter, scanners die alle poorten scannen kunnen ook worden gebruikt om open poorten te vinden.

Toegang verlenen tot uw NAS door alleen de benodigde poorten te openen in plaats van alle poorten. Als u bijvoorbeeld SMB gebruikt om bestanden over LAN te verzenden en SFTP om bestanden over WAN te verzenden, schakel dan andere ongebruikte services en bestandsprotocollen uit. Kies voor het gebruik van de nieuwste versie van het SMB (CIFS) protocol in lokale netwerken vanwege het hogere beveiligingsniveau.

U moet ook de externe connectiviteit uitschakelen. Op Synology NAS, schakel de Quick Connect-functie uit die bedoeld is om verbinding te maken met de NAS vanaf elk WAN IP-adres zonder poortdoorsturing te configureren. Door deze functie uit te schakelen, vermindert u het aantal manieren om verbinding te maken met de NAS, waardoor het minder waarschijnlijk is dat de NAS wordt gecompromitteerd en de gegevens worden versleuteld door ransomware.

Bescherm uw netwerk, computers en andere apparaten die zijn verbonden met het netwerk. Als u uw NAS alleen gebruikt om back-ups op locatie op te slaan, schakel dan verbindingen naar uw NAS van externe netwerken uit. Als er een ingebouwde firewall op uw NAS is, kunt u verbindingen alleen toestaan vanaf IP-adressen van servers waarop regelmatig gegevens worden geback-upt.Firmware bijwerken

Werk Firmware bij

NAS-apparaten hebben firmware of een speciaal besturingssysteem aangenomen om op NAS te werken. Ransomware kan beveiligingskwetsbaarheden van software misbruiken om een apparaat te infecteren en bestanden te versleutelen. En besturingssystemen geïnstalleerd op NAS-apparaten vormen hierop geen uitzondering. Werk NAS-firmware (besturingssystemen) en applicaties regelmatig bij om de nieuwste beveiligingspatches te installeren die ontdekte kwetsbaarheden in NAS-software oplossen. Het installeren van beveiligingsupdates vermindert het risico op ransomware-aanvallen op NAS-apparaten. Automatische updates kunnen in dit geval nuttig zijn.

Opmerking: Recentelijk ransomware-aanvallen waarbij de eCh0raix-ransomware brute kracht en softwarekwetsbaarheden gebruikte om QNAP NAS-apparaten zonder patches te targeten. Gebruikers die zwakke referenties en niet-gepatchte software gebruikten, werden aangevallen met eCh0raix. De meest recente ransomware-aanvallen gericht op NAS-apparaten omvatten ook AgeLocker en QSnatch.

Configureer Beveiligingsinstellingen

Veel NAS-apparaten hebben ingebouwde beveiligingsinstellingen die nuttig zijn voor bescherming tegen ransomware. De optie voor automatisch blokkeren wordt gebruikt om brute-force aanvallen te voorkomen om toegang te krijgen tot NAS. Configureer NAS-software om IP-adressen te blokkeren waarvan te veel pogingen tot aanmelden worden gedetecteerd. Schakel logging in om mislukte aanmeldpogingen te detecteren. Het configureren van accountbescherming stelt u in staat om de aanmeldoptie te blokkeren gedurende de juiste tijd nadat X-aanmeldpogingen zijn mislukt gedurende XX minuten. Verdediging tegen ongeautoriseerde toegang vermindert de kans op ransomware-aanvallen gericht op NAS-apparaten. Schakel DDoS-bescherming in als uw NAS blootgesteld is aan het internet. Deze optie beschermt NAS-apparaten tegen distributed denial-of-service aanvallen, die bedoeld zijn om online services te verstoren.

Gebruik een Beveiligde Verbinding

Gebruik altijd versleutelde verbindingen naar uw NAS. Schakel SSL in voor verbindingen om het HTTPS-protocol te gebruiken in plaats van HTTP om toegang te krijgen tot de webinterface van de NAS. Als u bestanden deelt met externe gebruikers, gebruik dan SFTP of FTPS in plaats van FTP omdat klassieke FTP geen versleuteling ondersteunt. Wanneer u netwerkprotocollen zonder versleuteling gebruikt, kan een derde partij gegevens die over het netwerk worden overgedragen vastleggen. Wachtwoorden worden als platte tekst overgedragen bij het gebruik van een onbeveiligde onversleutelde verbinding. Gebruik SSH en geen Telnet om uw NAS te beheren in de command-line-interface.

Bescherm de Volledige Omgeving

Effectieve ransomwarebescherming vereist een complete set maatregelen voor alle apparaten die zijn aangesloten op uw netwerken. Zelfs één onbeschermd apparaat kan worden gebruikt als de toegangspunt voor ransomware. Update de firmware op alle apparaten, installeer security patches op alle machines. Configureer e-mailbeveiliging met behulp van antispamfilters, want spam en phishingberichten zijn de meest voorkomende methodes voor ransomwareinfecties. Configureer monitoring om een ransomwarecyberaanval zo spoedig mogelijk te detecteren en stoppen met het versleutelen van bestanden en het verspreiden van ransomware.

Back Up Data

Cybercriminelen zoeken naar nieuwe kwetsbaarheden en verbeteren ze aanvall technieken om gebruikers aan te vallen en hun gegevens te versleutelen. Ransomwareaanvallen worden complexer. Daarom moet u uw gegevens regelmatig back-uppen. Een back-uplaag maakt het mogelijk om gegevens in korte tijd te herstellen bij een ransomwareaanval of andere rampen die leiden tot gegevensverlies. NAS-apparaten worden meestal gebruikt als back-uplocatie, maar ze kunnen ook een doelwit zijn van ransomware. Daarom moet u back-upkopieën aanmaken op basis van de 3-2-1 back-upregel. Back-up uw gegevens regelmatig en maak meerdere back-upkopieën. Als uw bestanden zijn versleuteld met ransomware, betaal geen ransom, want het betalen van ransom motiveert cybercriminelen om meer aanvallen te lanceren.

NAKIVO Backup & Replication is een universele oplossing voor dataopslag die op een NAS kan worden geïnstalleerd en uw data op een NAS kopieert en op andere opslagbronnen, inclusief het maken van reservekopieën op tape en in de cloud. NAKIVO Backup & Replication ondersteunt back-ups van VMware vSphere VMs, Microsoft Hyper-V VMs, Amazon EC2-instances, Linux- en Windowsmachines, Microsoft 365 en Oracle-databassen. U kunt de verschillende functies en functionaliteit van NAKIVO Backup & Replication verkennen door de gratis editie te downloaden. De gratis editie biedt u gratis bescherming voor 10 werklasten en 5 Microsoft 365-accounts voor een periode van één jaar!

Bekijk andere blogposts over ransomware voor meer informatie over het herstellen van data na een ransomware-aanval, hoe ransomware wordt verspreid en hoe het verwijderd kan worden.

Conclusie

Met de toenemende populariteit van NAS-apparaten, neemt ook het aantal ransomware-aanvallen op NAS toe, wat onverdiend zijn. Om NAS-apparaten te beschermen tegen ransomware-aanvallen, moet u een compleet set van maatregelen implementeren. Stel sterke wachtwoorden in, configureer de firewall, configureer toegangsrechten, bescherm de software op het NAS en op andere computers in uw netwerk en installeer veiligheidspatching regelmatig. Configureer e-mailfiltering op de e-mailservers van uw organisatie om gebruikers te beschermen tegen spam en phishing-e-mails. Maar het belangrijkste is om uw data regelmatig te back-uppen om er zeker van te zijn dat u na een ransomware-incident kan herstellen.