Auteur Topic: Synology geeft waarschuwing voor ransomware aanval.  (gelezen 95760 keer)

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.094
Synology geeft waarschuwing voor ransomware aanval.
« Gepost op: 23 juli 2019, 21:30:12 »
Zie: https://www.synology.com/en-us/company/news/article/2019JulyRansomware/Synology
Geen nieuwe kwetsbaarheid in de NAS, maar hackers zijn actief op zoek naar mensen die hun NAS simpelweg niet goed beveiligd hebben.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1380
  • -Ontvangen: 7963
  • Berichten: 43.941
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #1 Gepost op: 23 juli 2019, 21:45:59 »
Voorlopig Sticky en Forumbreed gemaakt t.b.v. de nodige aandacht. ;D


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.537
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #2 Gepost op: 23 juli 2019, 22:15:40 »
Als ik het zo lees gaat het om een massale bruteforce attack op het admin account die op 19 juli begonnen is. Op zich is er niets aan de hand omdat het geen zwakheden betreft.

- Als je geen admin account gebruikt, valt er ook niets te bruteforcen omdat ze alleen die naam proberen.
- Als je een factor twee inlog gebruikt komen ze ook niet binnen.


- Het aantal inlogpogingen beperken lukt niet omdat de aanval via een botnet loopt die steeds vanaf een ander IP begint.
- Als je poort 22 aan het internet hebt hangen zal dat ook een probleem zijn. Om een mij onbekende reden gebruikt synology geen factor 2 bij een ssh inlog. (Bij de beta 6.0 zat dat er wel in, maar sinds de 6.0 release heb ik het nooit meer terug gezien)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.094
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #3 Gepost op: 23 juli 2019, 23:36:14 »
Het “slimme” van de aanvallers is ook dat ze eerst een hele lijst van zwakke NASsen verzameld hebben alvorens te beginnen met de aanval.

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 38
  • Berichten: 422
  • Arms are made for hugging
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #4 Gepost op: 24 juli 2019, 08:28:25 »
Als je poort 22 aan het internet hebt hangen zal dat ook een probleem zijn. Om een mij onbekende reden gebruikt synology geen factor 2 bij een ssh inlog.

Ik stel ssh altijd in op "PasswordAuthentication no" en "PubkeyAuthentication yes". Geen hond die erin komt zonder geldige private key.

(Daarnaast hangen mijn NASsen niet aan het externe internet, da's nog veiliger.)
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 7 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 7 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.537
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #5 Gepost op: 24 juli 2019, 09:30:14 »
PubkeyAuthentication is niet iets was dsm zelf ondersteunt. Mijn opmerking was meer dat ik niet begrijp dat ze geen factor 2 gebruiken omdat het wel ooit in een beta zat en ook goed werkte.

Maar in het bericht van Synology staat niet waar ze binnen komen. Dat kan ook via dsm zijn, waarna ze via de taakplanner hun code laten uitvoeren. Acht ik waarschijnlijker omdat die poort vaker toegankelijk is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Jovink

  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 4
  • Berichten: 67
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #6 Gepost op: 24 juli 2019, 14:49:11 »
Jammer dat er geen eenvoudige instelling is om de admin alleen via lokaal netwerk toegang te geven.
  • Mijn Synology: DS918+
  • HDD's: 2x ST2000VN004
  • Extra's: 4 Gig

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1380
  • -Ontvangen: 7963
  • Berichten: 43.941
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #7 Gepost op: 24 juli 2019, 20:52:38 »
Deze mail ontvangen:

45341-0

Synology has recently received several reports of encryption-based ransomware attacks. After investigation, these incidents were part of a large-scale attack targeting NAS devices from various vendors leveraging brute-force attempts at logins instead of system vulnerabilities. Therefore, Synology strongly recommends all users check if the measures below are in place to secure your accounts.

Please make sure you go through the checklist below:
   •   Create a new account in administrator group and disable the system default “admin” account.
   •   Use a complex and strong password, and apply password strength rules to all users.
   •   Enable 2-step verification to add an extra security layer to your account.
   •   Enable Auto Block in Control Panel and run Security Advisor to make sure there is no weak password in the system.
   •   Enable Firewall in Control Panel, and only allow public ports for services that are necessary.

In addition to the network and account management settings described above, we also recommend you keep your NAS up to date as well as protect your data with the built-in Snapshot Replication or Hyper Backup in case a recovery is necessary. To learn more about how to safeguard your NAS against encryption-based ransomware, please visit https://www.synology.com/solution/ransomware.

More resources available:
   •   How to add extra security to your NAS?
   •   How can I protect my Synology NAS against WannaCry?
   •   How to back up your data to a remote Synology NAS or file server with Hyper Backup?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline dukard

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 5
  • Berichten: 121
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #8 Gepost op: 24 juli 2019, 23:58:10 »
Omdat er 2 Nas servers in mijn netwerk staan heb ik na het lezen van dit draadje een zg. poortscan uitgevoerd en die laten zien dat alle poorten dichtstaan. Geen enkele poort reageert op een "attack". Het netwerk zit achter een Draytek Vigor 2130N

Is het voor mij van belang om bovenstaande acties te ondernemen om mijn data veilig te stellen voor deze aanvallen ?

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.094
Synology geeft waarschuwing voor ransomware aanval.
« Reactie #9 Gepost op: 25 juli 2019, 07:05:19 »
Het gaat er vooral om of je je NAS hebt opengezet voor toegang van “buitenaf”. Als je dat hebt gedaan dan is het opschroeven van de beveiliging wel noodzakelijk.

Persoonlijk doe ik de simpele dingen, zoals sterkere wachtwoorden, firewall, auto block en het uitschakelen van het admin account standaard op elke NAS. Het is een kleine moeite.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 898
  • -Ontvangen: 1476
  • Berichten: 7.918
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #10 Gepost op: 25 juli 2019, 09:58:00 »
Net toevallig een aantal dagen terug een kennis van mij die mij belde, wiens NAS was gehackt.
De data was wel te benaderen, maar versleuteld, en er waren meldingen om een bedrag te betalen,
zodat je een key zou krijgen om data weer te ontsleutelen,  (wat natuurlijk niet gebeurt).

Ondanks de hiervoor aangehaalde beveiligingsmaatregelen toch gehackt.
We hebben het een en ander verder doorgenomen

In diens geval zou de hack mogelijk ook hebben kunnen plaatsvinden via een virus op diens PC?
Een dag ervoor had hij daar namelijk meldingen van gekregen "op de PC zelf".

Alleen data was versleuteld.  DSM (wat op een andere partitie staat van de NAS HD's), daar was niets aan te merken.
Gewoon benaderbaar.  Ook in de logfiles kon niets vreemds worden opgemerkt van "buitenaf".
Wel "anonymous" connectie vanuit het eigen LAN netwerk.

Mijn gedachte was dat er vanuit een PC wel een "open verbinding" is vanuit de verkenner / Netwerk,
met de shares op de NAS.   (Dat is eerder ooit voor een eerste keer daar de login van opgeslagen).
Er zou naar ik denk dan een mogelijkheid kunnen zijn dat het virus / hack vanuit de PC,
dan vrij spel heeft om ook de bestanden op de NAS te benaderen en dan te versleutelen.
Die gedachte van deze omweg werd ingegeven omdat bij controle van het soort meldingen via zijn smartphone.
(Vaste apparatuur had hij losgekoppeld van internet), het daarbij ging om een via een Windows verspreide virus / hack.

In hoeverre ook zijn PC is aangetast, hebben we toen niet verder meer over gesproken.
Hem wel het advies gegeven dit te melden bij Synology.

Wel gesproken over de kwetsbaarheid van een NAS "vanuit het eigen netwerk"  via bijv. "Media server".
De mappen   photo - music - video   zijn daarbij vanuit het eigen LAN netwerk zonder wachtwoord te benaderen.
(Die kennis gebruikt zijn NAS expliciet voor het afspelen van media).
Hoewel bij een geïnstalleerde "Media server" data onder "normale omstandigheden" alleen is te lezen, niet te schrijven.

Een hack hoeft dus niet perse "rechtstreeks" via de NAS te verlopen,
maar kan evengoed via slechte beveiliging van de rest van apparatuur in je netwerk, van daaruit worden ingezet.
(Een van de redenen dat ik bij een organisatie waar ik netwerkbeheer doe,
geen "open" connecties via het normale netwerk protocol toesta).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 38
  • Berichten: 422
  • Arms are made for hugging
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #11 Gepost op: 25 juli 2019, 10:54:47 »
De data was wel te benaderen, maar versleuteld, en er waren meldingen om een bedrag te betalen,
zodat je een key zou krijgen om data weer te ontsleutelen,  (wat natuurlijk niet gebeurt).

Ik denk (maar dat moet na te gaan zijn) dat dat wél gebeurt. Immers, als bekend wordt dat je toch geen key krijgt na betaling dan stort het verdienmodel van de ransomware in.

Citaat
Wel gesproken over de kwetsbaarheid van een NAS "vanuit het eigen netwerk"  via bijv. "Media server".
De mappen   photo - music - video   zijn daarbij vanuit het eigen LAN netwerk zonder wachtwoord te benaderen. Dus een besmette PC heeft zowat vrij spel op alle externe disks en netwerk shares.

Als wachtwoordbeveiligde shares zijn gekoppeld aan de PC dan zijn ze daarna ook verder zonder wachtwoord te benaderen.
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 7 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 7 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 898
  • -Ontvangen: 1476
  • Berichten: 7.918
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #12 Gepost op: 25 juli 2019, 11:45:48 »
Ik denk (maar dat moet na te gaan zijn) dat dat wél gebeurt.
Immers, als bekend wordt dat je toch geen key krijgt na betaling dan stort het verdienmodel van de ransomware in.

Er zijn altijd lieden die wel betalen. "Op de grote hoop" is de buit al binnen voordat wijd en breed bekend is dat ontsleuteling toch niet gebeurt.
(of misschien een handjevol).  Dat is in het verleden maar al te vaak voorgekomen.  Het te betalen bedrag was een kleine $ 1000,-
En de meeste mensen hangen niet aan de grote klok dat men gehackt is (zeker bedrijven niet).
Er komt op die wijze relatief weinig informatie naar buiten.  Dus het heeft toch wel zijn eigen "verdienmodel".


Als wachtwoordbeveiligde shares zijn gekoppeld aan de PC dan zijn ze daarna ook verder zonder wachtwoord te benaderen.

Dat had ik daarvoor al vernoemd. Vandaar de kwetsbaarheid ervan via een virus of malware op een PC.
(Je haalt eigenlijk een verkeerd stuk tekst van mijn eerdere reactie aan).
De mappen gerelateerd aan Media server staan daar nog los van, die hebben niet eens een wachtwoord nodig.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline OutintheBlue

  • Bedankjes
  • -Gegeven: 33
  • -Ontvangen: 4
  • Berichten: 114
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #13 Gepost op: 25 juli 2019, 15:10:05 »
Goedemiddag,
Helaas had ik de mail gemist en ben ik enigsins slachtoffer geworden van deze rasomware aanval. Gelukkig had ik accountbeveiliging aan staan en ook 2 staps verificatie, waardoor ik gewaarschuwd werd via mailberichten.
Wat ik niet had gedaan is mijn admin- account de-activeren, vandaar dat ik op hun lijst stond, zeg maar. Hoe dat werkt weet ik dan ook niet, maar goed.
Hoe dan ook. Ik heb alsnog mijn admin account gedeactiveerd en een ander account admin rechten gegeven, maar ik blijf waarscuwingen krijgen dat mijn admin account beveilgid is, ieder half uur.
Nu kan ik dat uistellen tot max. 999 minuten voordat dit opgeheven wordt, maar dan nog. Ik heb het account gedeactiveerd. Blijkbaar nog niet helemaal?

Zijn er andere acties te checken die niet in het lijstje van de mail van Synology staan?

Thanx in advance!
  • Mijn Synology: DS213+
  • HDD's: 2x ST3000DM001

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.094
Synology geeft waarschuwing voor ransomware aanval.
« Reactie #14 Gepost op: 25 juli 2019, 15:11:39 »
Welke melding krijg je nu precies? Dat is onduidelijk.


 

Synology 213+ Mappen op 2 pc's over hetzelfde netwerk

Gestart door marcj2Board NAS hardware vragen

Reacties: 6
Gelezen: 3368
Laatste bericht 03 oktober 2013, 18:28:52
door marcj2
hoe krijg ik https (ssl)certificaat van synology

Gestart door nijBoard Synology DSM 5.1 en eerder

Reacties: 9
Gelezen: 18094
Laatste bericht 07 december 2014, 05:29:21
door m4v3r1ck
Synology 918+ en TP Link TL-SG1016D - Link Aggregation ( LACP)

Gestart door Gerard 1Board NAS hardware vragen

Reacties: 19
Gelezen: 6828
Laatste bericht 24 november 2018, 18:08:15
door ivo nulens
Synology assistent - Mapstation

Gestart door JeffreyHBoard Synology DSM algemeen

Reacties: 3
Gelezen: 4008
Laatste bericht 10 januari 2014, 23:19:59
door Birdy
Synology niet bereikbaar op normale ip adres via VPN

Gestart door jhattemBoard VPN Server

Reacties: 19
Gelezen: 5406
Laatste bericht 08 februari 2019, 22:25:58
door jhattem