Ataques de Ransomware em Dispositivos NAS

Dispositivos NAS são amplamente utilizados por indivíduos e empresas para armazenar grandes quantidades de dados para serem acessados via rede. Também é muito conveniente utilizar o NAS como armazenamento para backups e, em muitos casos, os dispositivos NAS estão conectados à internet. É por isso que os dispositivos NAS são alvos comuns para criminosos cibernéticos. Algumas versões de ransomware são especificamente projetadas para atacar NAS.

No entanto, arquivos armazenados em um NAS podem ser criptografados e corrompidos por qualquer ransomware se um computador na rede estiver infectado e tiver acesso ao NAS. Isso pode ser uma surpresa para muitos usuários, que acreditam que o NAS é confiável e invulnerável por padrão. Esta postagem no blog explica como você pode proteger o NAS contra ataques de ransomware. O conjunto de medidas de segurança inclui medidas gerais contra ransomware, além de medidas específicas para NAS.

Alterar Credenciais no NAS

Os criadores de ransomware estão bem cientes dos nomes de usuário e senhas de administrador padrão em diferentes dispositivos NAS. Administrador ou admin são os nomes de usuário mais populares para contas de administração. Se o nome de usuário e a senha não forem alterados em um dispositivo, os atacantes podem facilmente obter acesso ao NAS. Quando os usuários admin definem suas próprias senhas, os atacantes podem usar ferramentas automatizadas para realizar ataques de força bruta e dicionários para adivinhar a senha e obter acesso total ao NAS.

Na maioria dos casos, não é possível excluir uma conta de administrador integrada em um dispositivo NAS. O melhor a fazer é criar uma nova conta de usuário no seu NAS e definir um nome de usuário e senha fortes que sejam difíceis de adivinhar. Em seguida, adicione todas as permissões administrativas para essa conta (todas as permissões disponíveis para a conta de administração padrão). Quando terminar, desative a conta de administração padrão no seu NAS.

Você pode criar contas para usuários que acessam dados compartilhados diretamente no NAS, ou pode integrar seu NAS ao domínio do Active Directory e usar contas de usuário do Active Directory para compartilhar pastas e acessá-las.

Certifique-se de usar senhas fortes para os usuários que acessam dados compartilhados. Uma senha forte contém pelo menos 8 caracteres, incluindo letras maiúsculas, minúsculas, dígitos e caracteres especiais (como %, $ & #).

Os dados em um NAS podem ser criptografados por ransomware se um usuário tiver acesso de gravação de um computador infectado para uma pasta compartilhada no NAS. Os dados acessíveis no NAS também podem ser criptografados por ransomware.

A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS  if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.

Outra boa prática é definir diferentes níveis de acesso para diferentes categorias de usuários. Os usuários que necessitam apenas de acesso de leitura não devem ter permissões de gravação para aumentar ainda mais a segurança.

Configurar Firewall

Se o seu NAS precisar ser acessado de redes externas ou da internet, configure corretamente o firewall no seu gateway para permitir acesso apenas de endereços IP confiáveis. Dessa forma, você impede que atacantes escaneiem e detectem seu dispositivo NAS pela internet. A melhor opção é colocar seu NAS atrás de um firewall NAT.

Existem duas abordagens para permitir o acesso a usuários fora da sua rede: encaminhamento de porta e uma rede virtual privada (VPN). Se você usar encaminhamento de porta para acessar seu NAS de redes externas, use números de porta personalizados (não padrão) para os protocolos usados para acessar dados. Por exemplo, use a porta TCP 8122 em vez da 22. Os atacantes geralmente escaneiam portas padrão para detectar portas abertas e iniciam ataques de força bruta/dicionário para comprometer contas e obter acesso ao NAS. No entanto, scanners que escaneiam todas as portas também podem ser usados para encontrar portas abertas.

Permita o acesso ao seu NAS abrindo apenas as portas necessárias em vez de todas as portas. Por exemplo, se você usar SMB para transferir arquivos pela LAN e SFTP para transferir arquivos pela WAN, desative outros serviços e protocolos de arquivo não utilizados. Opte por usar a versão mais recente do protocolo SMB (CIFS) em redes locais devido ao maior nível de segurança.

Você também deve desativar a conectividade remota. No Synology NAS, desative o recurso Quick Connect destinado a conectar-se ao NAS de qualquer endereço IP WAN sem configurar encaminhamento de porta. Desativar esse recurso reduz o número de formas de se conectar ao NAS, tornando menos provável que o NAS seja comprometido e que os dados sejam criptografados por ransomware.

Proteja sua rede, computadores e outros dispositivos conectados à rede. Se você usar seu NAS apenas para armazenar backups localmente, desative as conexões com seu NAS de redes externas. Se houver um firewall integrado em seu NAS, você pode habilitar conexões apenas a partir dos endereços IP dos servidores nos quais os dados são regularmente copiados.Atualize o Firmware

Atualizar Firmware

Dispositivos NAS possuem firmware ou um sistema operacional especial adotado para funcionar em NAS. Ransomware pode explorar vulnerabilidades de segurança do software para infectar um dispositivo e criptografar arquivos. E os sistemas operacionais instalados em dispositivos NAS não são uma exceção. Atualize regularmente o firmware do NAS (sistemas operacionais) e os aplicativos para instalar as últimas correções de segurança que corrigem as vulnerabilidades de software do NAS descobertas. A instalação de atualizações de segurança reduz o risco de ataques de ransomware em dispositivos NAS. As atualizações automáticas podem ser úteis nesse caso.

Observação: Ataques recentes de ransomware envolvendo o ransomware eCh0raix usaram força bruta e vulnerabilidades de software para atingir dispositivos NAS QNAP que não estão atualizados. Usuários que estavam usando credenciais fracas e software desatualizado foram atacados com o eCh0raix. Os ataques mais recentes de ransomware direcionados a dispositivos NAS também incluíram o AgeLocker e o QSnatch.

Configurar Configurações de Segurança

Muitos dispositivos NAS têm configurações de segurança embutidas que são úteis para proteção contra ransomware. A opção de bloqueio automático é usada para evitar ataques de força bruta para obter acesso ao NAS. Configure o software NAS para bloquear endereços IP dos quais são detectadas muitas tentativas de login. Ative o registro para detectar tentativas de login malsucedidas. Configurar a proteção da conta permite bloquear a opção de login pelo tempo apropriado após X tentativas de login falhadas por XX minutos. A defesa contra acesso não autorizado reduz a probabilidade de ataques de ransomware direcionados a dispositivos NAS. Ative a proteção contra DDoS se o seu NAS estiver exposto à internet. Essa opção protege os dispositivos NAS contra ataques distribuídos de negação de serviço, que são projetados para interromper serviços online.

Use Conexão Segura

Sempre use conexões criptografadas para o seu NAS. Ative o SSL para conexões, utilizando o protocolo HTTPS em vez de HTTP, para acessar a interface web do NAS. Se você compartilha arquivos com usuários externos, use SFTP ou FTPS em vez de FTP, porque o FTP clássico não suporta criptografia. Quando você usa protocolos de rede sem criptografia, terceiros podem capturar dados transferidos pela rede. Senhas são transferidas como texto simples ao usar uma conexão não segura e não criptografada. Use SSH e não Telnet para gerenciar o seu NAS na interface de linha de comando.

Proteja todo o ambiente

A proteção efetiva contra ransomware envolve um conjunto completo de medidas para todos os dispositivos conectados às suas redes. Mesmo um dispositivo desprotegido pode ser usado como ponto de entrada para ransomware. Atualize o firmware em todos os dispositivos, instale patches de segurança em todas as máquinas. Configure a proteção por email usando filtros anti-spam, pois spam e emails de phishing são os métodos de infecção de ransomware mais populares. Configure o monitoramento para detectar um ataque cibernético de ransomware o mais rápido possível e interromper a criptografia de arquivos e a propagação de ransomware.

Faça backup dos dados

Os criminosos cibernéticos estão procurando novas vulnerabilidades e aprimorando técnicas de ataque para atacar usuários e criptografar seus dados. Os ataques de ransomware estão se tornando mais sofisticados. É por isso que você deve fazer backup regularmente dos seus dados. Ter um backup permite que você restaure os dados em pouco tempo em caso de ataque de ransomware ou outros desastres que levem à perda de dados. Os dispositivos NAS geralmente são usados como destinos de backup, mas também podem ser alvos de ransomware. Por esse motivo, você deve criar cópias de backup com base na regra de backup 3-2-1. Faça backup regularmente dos seus dados e crie várias cópias de backup. Se seus arquivos foram criptografados com ransomware, não pague o resgate, pois pagar incentiva os criminosos cibernéticos a lançar mais ataques.

O NAKIVO Backup & Replication é uma solução universal de proteção de dados que pode ser instalada em NAS e pode fazer backup dos seus dados para NAS e outros armazenamentos, incluindo criação de cópias de backup em fita e nuvem. O NAKIVO Backup & Replication suporta backup de VMs do VMware vSphere, VMs do Microsoft Hyper-V, instâncias do Amazon EC2, máquinas Linux, máquinas Windows, Microsoft 365 e bancos de dados Oracle. Você pode explorar vários recursos e funcionalidades do NAKIVO Backup & Replication simplesmente baixando a Edição Gratuita. A Edição Gratuita permite que você proteja 10 cargas de trabalho e 5 contas do Microsoft 365 gratuitamente por um ano!

Leia outros posts de blog sobre ransomware para aprender mais sobre recuperação de ataque de ransomware, como o ransomware se espalha e como removê-lo.

Conclusão

Com a crescente popularidade dos dispositivos NAS, o ransomware que visa NAS também está aumentando, infelizmente. Para proteger dispositivos NAS contra ataques de ransomware, você deve implementar um conjunto completo de medidas. Defina senhas fortes, configure o firewall, configure permissões, proteja o software no NAS e em outros computadores da sua rede, instale regularmente as atualizações de segurança. Configure a filtragem de e-mails nos servidores de e-mail da sua organização para proteger os usuários contra spam e e-mails de phishing. Mas, o mais importante, certifique-se de fazer backup regularmente dos seus dados para garantir que você possa recuperar após um incidente de ransomware.