Auteur Topic: Synology geeft waarschuwing voor ransomware aanval.  (gelezen 95773 keer)

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.094
Synology geeft waarschuwing voor ransomware aanval.
« Gepost op: 23 juli 2019, 21:30:12 »
Zie: https://www.synology.com/en-us/company/news/article/2019JulyRansomware/Synology
Geen nieuwe kwetsbaarheid in de NAS, maar hackers zijn actief op zoek naar mensen die hun NAS simpelweg niet goed beveiligd hebben.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1380
  • -Ontvangen: 7963
  • Berichten: 43.941
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #1 Gepost op: 23 juli 2019, 21:45:59 »
Voorlopig Sticky en Forumbreed gemaakt t.b.v. de nodige aandacht. ;D


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.537
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #2 Gepost op: 23 juli 2019, 22:15:40 »
Als ik het zo lees gaat het om een massale bruteforce attack op het admin account die op 19 juli begonnen is. Op zich is er niets aan de hand omdat het geen zwakheden betreft.

- Als je geen admin account gebruikt, valt er ook niets te bruteforcen omdat ze alleen die naam proberen.
- Als je een factor twee inlog gebruikt komen ze ook niet binnen.


- Het aantal inlogpogingen beperken lukt niet omdat de aanval via een botnet loopt die steeds vanaf een ander IP begint.
- Als je poort 22 aan het internet hebt hangen zal dat ook een probleem zijn. Om een mij onbekende reden gebruikt synology geen factor 2 bij een ssh inlog. (Bij de beta 6.0 zat dat er wel in, maar sinds de 6.0 release heb ik het nooit meer terug gezien)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.094
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #3 Gepost op: 23 juli 2019, 23:36:14 »
Het “slimme” van de aanvallers is ook dat ze eerst een hele lijst van zwakke NASsen verzameld hebben alvorens te beginnen met de aanval.

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 38
  • Berichten: 422
  • Arms are made for hugging
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #4 Gepost op: 24 juli 2019, 08:28:25 »
Als je poort 22 aan het internet hebt hangen zal dat ook een probleem zijn. Om een mij onbekende reden gebruikt synology geen factor 2 bij een ssh inlog.

Ik stel ssh altijd in op "PasswordAuthentication no" en "PubkeyAuthentication yes". Geen hond die erin komt zonder geldige private key.

(Daarnaast hangen mijn NASsen niet aan het externe internet, da's nog veiliger.)
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 7 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 7 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.537
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #5 Gepost op: 24 juli 2019, 09:30:14 »
PubkeyAuthentication is niet iets was dsm zelf ondersteunt. Mijn opmerking was meer dat ik niet begrijp dat ze geen factor 2 gebruiken omdat het wel ooit in een beta zat en ook goed werkte.

Maar in het bericht van Synology staat niet waar ze binnen komen. Dat kan ook via dsm zijn, waarna ze via de taakplanner hun code laten uitvoeren. Acht ik waarschijnlijker omdat die poort vaker toegankelijk is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Jovink

  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 4
  • Berichten: 67
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #6 Gepost op: 24 juli 2019, 14:49:11 »
Jammer dat er geen eenvoudige instelling is om de admin alleen via lokaal netwerk toegang te geven.
  • Mijn Synology: DS918+
  • HDD's: 2x ST2000VN004
  • Extra's: 4 Gig

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1380
  • -Ontvangen: 7963
  • Berichten: 43.941
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #7 Gepost op: 24 juli 2019, 20:52:38 »
Deze mail ontvangen:

45341-0

Synology has recently received several reports of encryption-based ransomware attacks. After investigation, these incidents were part of a large-scale attack targeting NAS devices from various vendors leveraging brute-force attempts at logins instead of system vulnerabilities. Therefore, Synology strongly recommends all users check if the measures below are in place to secure your accounts.

Please make sure you go through the checklist below:
   •   Create a new account in administrator group and disable the system default “admin” account.
   •   Use a complex and strong password, and apply password strength rules to all users.
   •   Enable 2-step verification to add an extra security layer to your account.
   •   Enable Auto Block in Control Panel and run Security Advisor to make sure there is no weak password in the system.
   •   Enable Firewall in Control Panel, and only allow public ports for services that are necessary.

In addition to the network and account management settings described above, we also recommend you keep your NAS up to date as well as protect your data with the built-in Snapshot Replication or Hyper Backup in case a recovery is necessary. To learn more about how to safeguard your NAS against encryption-based ransomware, please visit https://www.synology.com/solution/ransomware.

More resources available:
   •   How to add extra security to your NAS?
   •   How can I protect my Synology NAS against WannaCry?
   •   How to back up your data to a remote Synology NAS or file server with Hyper Backup?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline dukard

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 5
  • Berichten: 121
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #8 Gepost op: 24 juli 2019, 23:58:10 »
Omdat er 2 Nas servers in mijn netwerk staan heb ik na het lezen van dit draadje een zg. poortscan uitgevoerd en die laten zien dat alle poorten dichtstaan. Geen enkele poort reageert op een "attack". Het netwerk zit achter een Draytek Vigor 2130N

Is het voor mij van belang om bovenstaande acties te ondernemen om mijn data veilig te stellen voor deze aanvallen ?

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.094
Synology geeft waarschuwing voor ransomware aanval.
« Reactie #9 Gepost op: 25 juli 2019, 07:05:19 »
Het gaat er vooral om of je je NAS hebt opengezet voor toegang van “buitenaf”. Als je dat hebt gedaan dan is het opschroeven van de beveiliging wel noodzakelijk.

Persoonlijk doe ik de simpele dingen, zoals sterkere wachtwoorden, firewall, auto block en het uitschakelen van het admin account standaard op elke NAS. Het is een kleine moeite.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 898
  • -Ontvangen: 1477
  • Berichten: 7.918
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #10 Gepost op: 25 juli 2019, 09:58:00 »
Net toevallig een aantal dagen terug een kennis van mij die mij belde, wiens NAS was gehackt.
De data was wel te benaderen, maar versleuteld, en er waren meldingen om een bedrag te betalen,
zodat je een key zou krijgen om data weer te ontsleutelen,  (wat natuurlijk niet gebeurt).

Ondanks de hiervoor aangehaalde beveiligingsmaatregelen toch gehackt.
We hebben het een en ander verder doorgenomen

In diens geval zou de hack mogelijk ook hebben kunnen plaatsvinden via een virus op diens PC?
Een dag ervoor had hij daar namelijk meldingen van gekregen "op de PC zelf".

Alleen data was versleuteld.  DSM (wat op een andere partitie staat van de NAS HD's), daar was niets aan te merken.
Gewoon benaderbaar.  Ook in de logfiles kon niets vreemds worden opgemerkt van "buitenaf".
Wel "anonymous" connectie vanuit het eigen LAN netwerk.

Mijn gedachte was dat er vanuit een PC wel een "open verbinding" is vanuit de verkenner / Netwerk,
met de shares op de NAS.   (Dat is eerder ooit voor een eerste keer daar de login van opgeslagen).
Er zou naar ik denk dan een mogelijkheid kunnen zijn dat het virus / hack vanuit de PC,
dan vrij spel heeft om ook de bestanden op de NAS te benaderen en dan te versleutelen.
Die gedachte van deze omweg werd ingegeven omdat bij controle van het soort meldingen via zijn smartphone.
(Vaste apparatuur had hij losgekoppeld van internet), het daarbij ging om een via een Windows verspreide virus / hack.

In hoeverre ook zijn PC is aangetast, hebben we toen niet verder meer over gesproken.
Hem wel het advies gegeven dit te melden bij Synology.

Wel gesproken over de kwetsbaarheid van een NAS "vanuit het eigen netwerk"  via bijv. "Media server".
De mappen   photo - music - video   zijn daarbij vanuit het eigen LAN netwerk zonder wachtwoord te benaderen.
(Die kennis gebruikt zijn NAS expliciet voor het afspelen van media).
Hoewel bij een geïnstalleerde "Media server" data onder "normale omstandigheden" alleen is te lezen, niet te schrijven.

Een hack hoeft dus niet perse "rechtstreeks" via de NAS te verlopen,
maar kan evengoed via slechte beveiliging van de rest van apparatuur in je netwerk, van daaruit worden ingezet.
(Een van de redenen dat ik bij een organisatie waar ik netwerkbeheer doe,
geen "open" connecties via het normale netwerk protocol toesta).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 38
  • Berichten: 422
  • Arms are made for hugging
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #11 Gepost op: 25 juli 2019, 10:54:47 »
De data was wel te benaderen, maar versleuteld, en er waren meldingen om een bedrag te betalen,
zodat je een key zou krijgen om data weer te ontsleutelen,  (wat natuurlijk niet gebeurt).

Ik denk (maar dat moet na te gaan zijn) dat dat wél gebeurt. Immers, als bekend wordt dat je toch geen key krijgt na betaling dan stort het verdienmodel van de ransomware in.

Citaat
Wel gesproken over de kwetsbaarheid van een NAS "vanuit het eigen netwerk"  via bijv. "Media server".
De mappen   photo - music - video   zijn daarbij vanuit het eigen LAN netwerk zonder wachtwoord te benaderen. Dus een besmette PC heeft zowat vrij spel op alle externe disks en netwerk shares.

Als wachtwoordbeveiligde shares zijn gekoppeld aan de PC dan zijn ze daarna ook verder zonder wachtwoord te benaderen.
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 7 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 7 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 898
  • -Ontvangen: 1477
  • Berichten: 7.918
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #12 Gepost op: 25 juli 2019, 11:45:48 »
Ik denk (maar dat moet na te gaan zijn) dat dat wél gebeurt.
Immers, als bekend wordt dat je toch geen key krijgt na betaling dan stort het verdienmodel van de ransomware in.

Er zijn altijd lieden die wel betalen. "Op de grote hoop" is de buit al binnen voordat wijd en breed bekend is dat ontsleuteling toch niet gebeurt.
(of misschien een handjevol).  Dat is in het verleden maar al te vaak voorgekomen.  Het te betalen bedrag was een kleine $ 1000,-
En de meeste mensen hangen niet aan de grote klok dat men gehackt is (zeker bedrijven niet).
Er komt op die wijze relatief weinig informatie naar buiten.  Dus het heeft toch wel zijn eigen "verdienmodel".


Als wachtwoordbeveiligde shares zijn gekoppeld aan de PC dan zijn ze daarna ook verder zonder wachtwoord te benaderen.

Dat had ik daarvoor al vernoemd. Vandaar de kwetsbaarheid ervan via een virus of malware op een PC.
(Je haalt eigenlijk een verkeerd stuk tekst van mijn eerdere reactie aan).
De mappen gerelateerd aan Media server staan daar nog los van, die hebben niet eens een wachtwoord nodig.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline OutintheBlue

  • Bedankjes
  • -Gegeven: 33
  • -Ontvangen: 4
  • Berichten: 114
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #13 Gepost op: 25 juli 2019, 15:10:05 »
Goedemiddag,
Helaas had ik de mail gemist en ben ik enigsins slachtoffer geworden van deze rasomware aanval. Gelukkig had ik accountbeveiliging aan staan en ook 2 staps verificatie, waardoor ik gewaarschuwd werd via mailberichten.
Wat ik niet had gedaan is mijn admin- account de-activeren, vandaar dat ik op hun lijst stond, zeg maar. Hoe dat werkt weet ik dan ook niet, maar goed.
Hoe dan ook. Ik heb alsnog mijn admin account gedeactiveerd en een ander account admin rechten gegeven, maar ik blijf waarscuwingen krijgen dat mijn admin account beveilgid is, ieder half uur.
Nu kan ik dat uistellen tot max. 999 minuten voordat dit opgeheven wordt, maar dan nog. Ik heb het account gedeactiveerd. Blijkbaar nog niet helemaal?

Zijn er andere acties te checken die niet in het lijstje van de mail van Synology staan?

Thanx in advance!
  • Mijn Synology: DS213+
  • HDD's: 2x ST3000DM001

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.094
Synology geeft waarschuwing voor ransomware aanval.
« Reactie #14 Gepost op: 25 juli 2019, 15:11:39 »
Welke melding krijg je nu precies? Dat is onduidelijk.


 

DNSCrypt op de Synology ?

Gestart door hetregentbuitenBoard Overige software

Reacties: 0
Gelezen: 2550
Laatste bericht 01 februari 2012, 09:29:06
door hetregentbuiten
WDTV live en synology

Gestart door frontcodeBoard FTP, NFS and Samba Server

Reacties: 8
Gelezen: 6291
Laatste bericht 15 april 2012, 14:42:19
door Goner
Synology blijft uit hibernate komen

Gestart door TohnmeisterBoard NAS hardware vragen

Reacties: 2
Gelezen: 2886
Laatste bericht 16 juni 2012, 19:41:15
door Tohnmeister
Synology als PVR

Gestart door bassie21Board Algemeen

Reacties: 46
Gelezen: 47399
Laatste bericht 22 november 2013, 22:08:50
door Stephan296
(tiime)Backup van Synology naar Playon

Gestart door strikkieBoard Data replicator & overige backupsoftware

Reacties: 0
Gelezen: 1893
Laatste bericht 13 oktober 2012, 11:54:02
door strikkie