Synology geeft waarschuwing voor ransomware aanval.

[Hofstede]

Zie: https://www.synology.com/en-us/company/news/article/2019JulyRansomware/Synology
Geen nieuwe kwetsbaarheid in de NAS, maar hackers zijn actief op zoek naar mensen die hun NAS simpelweg niet goed beveiligd hebben.

[Birdy]

Voorlopig Sticky en Forumbreed gemaakt t.b.v. de nodige aandacht.

[Briolet]

Als ik het zo lees gaat het om een massale bruteforce attack op het admin account die op 19 juli begonnen is. Op zich is er niets aan de hand omdat het geen zwakheden betreft.

- Als je geen admin account gebruikt, valt er ook niets te bruteforcen omdat ze alleen die naam proberen.
- Als je een factor twee inlog gebruikt komen ze ook niet binnen.


- Het aantal inlogpogingen beperken lukt niet omdat de aanval via een botnet loopt die steeds vanaf een ander IP begint.
- Als je poort 22 aan het internet hebt hangen zal dat ook een probleem zijn. Om een mij onbekende reden gebruikt synology geen factor 2 bij een ssh inlog. (Bij de beta 6.0 zat dat er wel in, maar sinds de 6.0 release heb ik het nooit meer terug gezien)

[Hofstede]

Het “slimme” van de aanvallers is ook dat ze eerst een hele lijst van zwakke NASsen verzameld hebben alvorens te beginnen met de aanval.

[sciurius]

Als je poort 22 aan het internet hebt hangen zal dat ook een probleem zijn. Om een mij onbekende reden gebruikt synology geen factor 2 bij een ssh inlog.

Ik stel ssh altijd in op "PasswordAuthentication no" en "PubkeyAuthentication yes". Geen hond die erin komt zonder geldige private key.

(Daarnaast hangen mijn NASsen niet aan het externe internet, da's nog veiliger.)

[Briolet]

PubkeyAuthentication is niet iets was dsm zelf ondersteunt. Mijn opmerking was meer dat ik niet begrijp dat ze geen factor 2 gebruiken omdat het wel ooit in een beta zat en ook goed werkte.

Maar in het bericht van Synology staat niet waar ze binnen komen. Dat kan ook via dsm zijn, waarna ze via de taakplanner hun code laten uitvoeren. Acht ik waarschijnlijker omdat die poort vaker toegankelijk is.

[Jovink]

Jammer dat er geen eenvoudige instelling is om de admin alleen via lokaal netwerk toegang te geven.

[Birdy]

Deze mail ontvangen:

Synology has recently received several reports of encryption-based ransomware attacks. After investigation, these incidents were part of a large-scale attack targeting NAS devices from various vendors leveraging brute-force attempts at logins instead of system vulnerabilities. Therefore, Synology strongly recommends all users check if the measures below are in place to secure your accounts.

Please make sure you go through the checklist below:
   •   Create a new account in administrator group and disable the system default “admin” account.
   •   Use a complex and strong password, and apply password strength rules to all users.
   •   Enable 2-step verification to add an extra security layer to your account.
   •   Enable Auto Block in Control Panel and run Security Advisor to make sure there is no weak password in the system.
   •   Enable Firewall in Control Panel, and only allow public ports for services that are necessary.

In addition to the network and account management settings described above, we also recommend you keep your NAS up to date as well as protect your data with the built-in Snapshot Replication or Hyper Backup in case a recovery is necessary. To learn more about how to safeguard your NAS against encryption-based ransomware, please visit https://www.synology.com/solution/ransomware.

More resources available:
   •   How to add extra security to your NAS?
   •   How can I protect my Synology NAS against WannaCry?
   •   How to back up your data to a remote Synology NAS or file server with Hyper Backup?

[dukard]

Omdat er 2 Nas servers in mijn netwerk staan heb ik na het lezen van dit draadje een zg. poortscan uitgevoerd en die laten zien dat alle poorten dichtstaan. Geen enkele poort reageert op een "attack". Het netwerk zit achter een Draytek Vigor 2130N

Is het voor mij van belang om bovenstaande acties te ondernemen om mijn data veilig te stellen voor deze aanvallen ?

[Hofstede]

Het gaat er vooral om of je je NAS hebt opengezet voor toegang van “buitenaf”. Als je dat hebt gedaan dan is het opschroeven van de beveiliging wel noodzakelijk.

Persoonlijk doe ik de simpele dingen, zoals sterkere wachtwoorden, firewall, auto block en het uitschakelen van het admin account standaard op elke NAS. Het is een kleine moeite.

[Babylonia]

Net toevallig een aantal dagen terug een kennis van mij die mij belde, wiens NAS was gehackt.
De data was wel te benaderen, maar versleuteld, en er waren meldingen om een bedrag te betalen,
zodat je een key zou krijgen om data weer te ontsleutelen,  (wat natuurlijk niet gebeurt).

Ondanks de hiervoor aangehaalde beveiligingsmaatregelen toch gehackt.
We hebben het een en ander verder doorgenomen

In diens geval zou de hack mogelijk ook hebben kunnen plaatsvinden via een virus op diens PC?
Een dag ervoor had hij daar namelijk meldingen van gekregen "op de PC zelf".

Alleen data was versleuteld.  DSM (wat op een andere partitie staat van de NAS HD's), daar was niets aan te merken.
Gewoon benaderbaar.  Ook in de logfiles kon niets vreemds worden opgemerkt van "buitenaf".
Wel "anonymous" connectie vanuit het eigen LAN netwerk.

Mijn gedachte was dat er vanuit een PC wel een "open verbinding" is vanuit de verkenner / Netwerk,
met de shares op de NAS.   (Dat is eerder ooit voor een eerste keer daar de login van opgeslagen).
Er zou naar ik denk dan een mogelijkheid kunnen zijn dat het virus / hack vanuit de PC,
dan vrij spel heeft om ook de bestanden op de NAS te benaderen en dan te versleutelen.
Die gedachte van deze omweg werd ingegeven omdat bij controle van het soort meldingen via zijn smartphone.
(Vaste apparatuur had hij losgekoppeld van internet), het daarbij ging om een via een Windows verspreide virus / hack.

In hoeverre ook zijn PC is aangetast, hebben we toen niet verder meer over gesproken.
Hem wel het advies gegeven dit te melden bij Synology.

Wel gesproken over de kwetsbaarheid van een NAS "vanuit het eigen netwerk"  via bijv. "Media server".
De mappen   photo - music - video   zijn daarbij vanuit het eigen LAN netwerk zonder wachtwoord te benaderen.
(Die kennis gebruikt zijn NAS expliciet voor het afspelen van media).
Hoewel bij een geïnstalleerde "Media server" data onder "normale omstandigheden" alleen is te lezen, niet te schrijven.

Een hack hoeft dus niet perse "rechtstreeks" via de NAS te verlopen,
maar kan evengoed via slechte beveiliging van de rest van apparatuur in je netwerk, van daaruit worden ingezet.
(Een van de redenen dat ik bij een organisatie waar ik netwerkbeheer doe,
geen "open" connecties via het normale netwerk protocol toesta).

[sciurius]

De data was wel te benaderen, maar versleuteld, en er waren meldingen om een bedrag te betalen,
zodat je een key zou krijgen om data weer te ontsleutelen,  (wat natuurlijk niet gebeurt).

Ik denk (maar dat moet na te gaan zijn) dat dat wél gebeurt. Immers, als bekend wordt dat je toch geen key krijgt na betaling dan stort het verdienmodel van de ransomware in.

Wel gesproken over de kwetsbaarheid van een NAS "vanuit het eigen netwerk"  via bijv. "Media server".
De mappen   photo - music - video   zijn daarbij vanuit het eigen LAN netwerk zonder wachtwoord te benaderen. Dus een besmette PC heeft zowat vrij spel op alle externe disks en netwerk shares.

Als wachtwoordbeveiligde shares zijn gekoppeld aan de PC dan zijn ze daarna ook verder zonder wachtwoord te benaderen.

[Babylonia]

Ik denk (maar dat moet na te gaan zijn) dat dat wél gebeurt.
Immers, als bekend wordt dat je toch geen key krijgt na betaling dan stort het verdienmodel van de ransomware in.

Er zijn altijd lieden die wel betalen. "Op de grote hoop" is de buit al binnen voordat wijd en breed bekend is dat ontsleuteling toch niet gebeurt.
(of misschien een handjevol).  Dat is in het verleden maar al te vaak voorgekomen.  Het te betalen bedrag was een kleine $ 1000,-
En de meeste mensen hangen niet aan de grote klok dat men gehackt is (zeker bedrijven niet).
Er komt op die wijze relatief weinig informatie naar buiten.  Dus het heeft toch wel zijn eigen "verdienmodel".

Als wachtwoordbeveiligde shares zijn gekoppeld aan de PC dan zijn ze daarna ook verder zonder wachtwoord te benaderen.

Dat had ik daarvoor al vernoemd. Vandaar de kwetsbaarheid ervan via een virus of malware op een PC.
(Je haalt eigenlijk een verkeerd stuk tekst van mijn eerdere reactie aan).
De mappen gerelateerd aan Media server staan daar nog los van, die hebben niet eens een wachtwoord nodig.

[OutintheBlue]

Goedemiddag,
Helaas had ik de mail gemist en ben ik enigsins slachtoffer geworden van deze rasomware aanval. Gelukkig had ik accountbeveiliging aan staan en ook 2 staps verificatie, waardoor ik gewaarschuwd werd via mailberichten.
Wat ik niet had gedaan is mijn admin- account de-activeren, vandaar dat ik op hun lijst stond, zeg maar. Hoe dat werkt weet ik dan ook niet, maar goed.
Hoe dan ook. Ik heb alsnog mijn admin account gedeactiveerd en een ander account admin rechten gegeven, maar ik blijf waarscuwingen krijgen dat mijn admin account beveilgid is, ieder half uur.
Nu kan ik dat uistellen tot max. 999 minuten voordat dit opgeheven wordt, maar dan nog. Ik heb het account gedeactiveerd. Blijkbaar nog niet helemaal?

Zijn er andere acties te checken die niet in het lijstje van de mail van Synology staan?

Thanx in advance!

[Hofstede]

Welke melding krijg je nu precies? Dat is onduidelijk.