Ataques de Ransomware em Dispositivos NAS

Dispositivos NAS são amplamente utilizados por indivíduos e empresas para armazenar grandes quantidades de dados a serem acessados através de uma rede. Também é muito conveniente usar o NAS como armazenamento para backups e, em muitos casos, os dispositivos NAS estão conectados à internet. É por isso que os dispositivos NAS são alvos comuns para criminosos cibernéticos. Algumas versões de ransomware são projetadas especificamente para atacar NAS.

No entanto, arquivos armazenados em um NAS podem ser criptografados e corrompidos por qualquer ransomware se um computador na rede estiver infectado e tiver acesso ao NAS. Isso pode ser uma surpresa para muitos usuários, que acreditam que o NAS é confiável e invulnerável por padrão. Esta postagem no blog explica como você pode proteger o NAS contra ataques de ransomware. O conjunto de medidas de segurança inclui medidas gerais anti-ransomware, além de medidas específicas do NAS.

Alterar Credenciais no NAS

Os criadores de ransomware estão bem cientes dos nomes de usuário e senhas de administrador padrão em diferentes dispositivos NAS. Administrador ou admin são os nomes de usuário mais populares para contas de administração. Se o nome de usuário e a senha não forem alterados em um dispositivo, os atacantes podem facilmente obter acesso ao NAS. Quando os usuários admin definem suas próprias senhas, os atacantes podem usar ferramentas automatizadas para realizar ataques de força bruta e dicionários para adivinhar a senha e obter acesso total ao NAS.

Na maioria dos casos, não é possível excluir uma conta de administrador incorporada em um dispositivo NAS. A melhor coisa a fazer é criar uma nova conta de usuário no seu NAS e definir um nome de usuário e senha fortes que sejam difíceis de adivinhar. Em seguida, adicione todas as permissões administrativas para esta conta (todas as permissões disponíveis para a conta de administração padrão). Quando terminar, desative a conta de administração padrão no seu NAS.

Você pode criar contas para usuários que acessam dados compartilhados diretamente no NAS, ou pode juntar seu NAS ao domínio do Active Directory e usar contas de usuário do Active Directory para compartilhar pastas e acessá-las.

Certifique-se de usar senhas fortes para usuários que acessam dados compartilhados. Uma senha forte contém pelo menos 8 caracteres, incluindo letras maiúsculas, minúsculas, dígitos e caracteres especiais (como %, $ & #).

Os dados em um NAS podem ser criptografados por ransomware se um usuário tiver acesso de gravação de um computador infectado para uma pasta compartilhada no NAS. Os dados acessíveis no NAS também podem ser criptografados por ransomware.

A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS  if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.

Outra boa prática é definir diferentes níveis de acesso para diferentes categorias de usuários. Usuários que exigem acesso somente leitura não devem ter permissões de gravação para aumentar ainda mais a segurança.

Configurar Firewall

Se o seu NAS precisa ser acessado de redes externas ou da internet, configure o firewall no seu gateway corretamente para permitir o acesso apenas a partir de endereços IP confiáveis. Dessa forma, você evita que atacantes escaneiem e detectem seu dispositivo NAS pela internet. A melhor opção é colocar seu NAS atrás de um firewall NAT.

Existem duas abordagens para permitir acesso a usuários fora da sua rede: encaminhamento de porta e uma rede virtual privada (VPN). Se você usar encaminhamento de porta para acessar seu NAS de redes externas, use números de porta personalizados (não padrão) para os protocolos usados para acessar os dados. Por exemplo, use a porta TCP 8122 em vez da 22. Os atacantes geralmente escaneiam portas padrão para detectar portas abertas e começar ataques de força bruta/dicionário para comprometer contas e obter acesso ao NAS. No entanto, scanners que escaneiam todas as portas também podem ser usados para encontrar portas abertas.

Permita o acesso ao seu NAS abrindo apenas as portas necessárias em vez de todas as portas. Por exemplo, se você usa SMB para transferir arquivos pela LAN e SFTP para transferir arquivos pela WAN, desative outros serviços não utilizados e protocolos de arquivo. Opte por usar a versão mais recente do protocolo SMB (CIFS) em redes locais devido ao maior nível de segurança.

Você também deve desativar a conectividade remota. No NAS Synology, desative o recurso Quick Connect destinado a se conectar ao NAS de qualquer endereço IP WAN sem configurar encaminhamento de porta. Desativar este recurso reduz o número de maneiras de se conectar ao NAS, tornando assim menos provável que o NAS seja comprometido e os dados sejam criptografados por ransomware.

Proteja sua rede, computadores e outros dispositivos conectados à rede. Se você usar seu NAS apenas para armazenar backups localmente, desative conexões para o seu NAS a partir de redes externas. Se houver um firewall embutido no seu NAS, você pode permitir conexões apenas a partir de endereços IP de servidores nos quais os dados são regularmente copiados.Atualize o Firmware

Atualizar Firmware

Dispositivos NAS possuem firmware ou um sistema operacional especial adotado para funcionar em NAS. Ransomware pode explorar vulnerabilidades de segurança do software para infectar um dispositivo e criptografar arquivos. E os sistemas operacionais instalados em dispositivos NAS não são uma exceção. Atualize regularmente o firmware do NAS (sistemas operacionais) e aplicativos para instalar as últimas correções de segurança que corrigem vulnerabilidades de software do NAS descobertas. A instalação de atualizações de segurança reduz o risco de ataques de ransomware em dispositivos NAS. As atualizações automáticas podem ser úteis nesse caso.

Nota: Ataques recentes de ransomware envolvendo o ransomware eCh0raix usaram força bruta e vulnerabilidades de software para visar dispositivos NAS QNAP que não foram corrigidos. Usuários que estavam usando credenciais fracas e software não corrigido foram atacados com o eCh0raix. Os ataques mais recentes de ransomware visando dispositivos NAS também incluíram AgeLocker e QSnatch.

Configurar Configurações de Segurança

Muitos dispositivos NAS possuem configurações de segurança integradas que são úteis para proteção contra ransomware. A opção de bloqueio automático é usada para impedir ataques de força bruta para obter acesso ao NAS. Configure o software do NAS para bloquear endereços IP de onde são detectadas muitas tentativas de login. Ative o registro para detectar tentativas de login falhadas. Configurar a proteção da conta permite que você bloqueie a opção de login por um tempo apropriado após X tentativas de login falharem por XX minutos. A defesa contra acesso não autorizado reduz a probabilidade de ataques de ransomware visando dispositivos NAS. Ative a proteção contra DDoS se seu NAS estiver exposto à internet. Essa opção protege os dispositivos NAS contra ataques de negação de serviço distribuídos, que visam interromper serviços online.

Use Conexão Segura

Sempre use conexões criptografadas para o seu NAS. Ative o SSL para conexões para usar o protocolo HTTPS em vez de HTTP para acessar a interface da web do NAS. Se você compartilhar arquivos com usuários externos, use SFTP ou FTPS em vez de FTP porque o FTP clássico não suporta criptografia. Quando você usa protocolos de rede sem criptografia, uma terceira parte pode capturar dados transferidos pela rede. As senhas são transferidas como texto simples ao usar uma conexão não segura e não criptografada. Use SSH e não Telnet para gerenciar o seu NAS na interface de linha de comando.

Proteja todo o Ambiente

A proteção eficaz contra ransomware envolve um conjunto completo de medidas para todos os dispositivos conectados a suas redes. Mesmo um dispositivo não protegido pode ser usado como ponto de entrada para o ransomware. Atualize o firmware em todos os dispositivos, instale patches de segurança em todas as máquinas. Configure a proteção de e-mail usando filtros anti-spam, pois spam e e-mails de phishing são os métodos de infecção por ransomware mais populares. Configure o monitoramento para detectar um ataque cibernético de ransomware o mais rápido possível e impedir a criptografia de arquivos e a propagação do ransomware.

Fazer Backup de Dados

Os criminosos cibernéticos estão procurando novas vulnerabilidades e melhorando técnicas de ataque para atacar usuários e criptografar seus dados. Os ataques de ransomware se tornam mais sofisticados. Por isso, você deve fazer backup de seus dados regularmente. Ter um backup permite restaurar dados em um curto período de tempo em caso de ataque de ransomware ou outras catástrofes que levam à perda de dados. Os dispositivos NAS são geralmente usados como destinos de backup, mas também podem ser alvo de ransomware. Por essa razão, você deve criar cópias de backup com base na regra de backup 3-2-1. Faça backup de seus dados regularmente e crie várias cópias de backup. Se seus arquivos forem criptografados com ransomware, não pague o resgate, pois pagar incentiva os criminosos cibernéticos a lançarem mais ataques.

O NAKIVO Backup & Replication é uma solução de proteção de dados universal que pode ser instalada em NAS e pode fazer backup de seus dados para NAS e outros armazenamentos, incluindo a criação de cópias de backup em fita e na nuvem. O NAKIVO Backup & Replication suporta backup de VMs VMware vSphere, VMs Microsoft Hyper-V, instâncias Amazon EC2, máquinas Linux, máquinas Windows, Microsoft 365 e bancos de dados Oracle. Você pode explorar várias funcionalidades do NAKIVO Backup & Replication simplesmente baixando a Edição Gratuita. A Edição Gratuita permite proteger 10 cargas de trabalho e 5 contas do Microsoft 365 gratuitamente por um ano!

Leia outros posts de blog sobre ransomware para saber mais sobre recuperar-se de um ataque de ransomware, como o ransomware se espalha e como removê-lo.

Conclusão

Com a crescente popularidade dos dispositivos NAS, infelizmente, o ransomware direcionado a NAS também está aumentando. Para proteger os dispositivos NAS contra ataques de ransomware, você deve implementar um conjunto completo de medidas. Defina senhas fortes, configure firewall, configure permissões, proteja o software no NAS e em outros computadores em sua rede, instale regularmente patches de segurança. Configure a filtragem de e-mails nos servidores de e-mail em sua organização para prevenir os usuários contra e-mails de spam e phishing. Mas, o mais importante, certifique-se de fazer backup de seus dados regularmente para garantir que possa se recuperar após um incidente de ransomware.