11 min odczyt

Ransomware Targeting NAS Urządzenia: Jak chronić przechowywanie sieci

Urządzenia NAS stały się głównym celem ataków ransomware ze względu na ich centralną rolę w przechowywaniu cennych danych. Ten artykuł wyjaśnia, w jaki sposób cyberprzestępcy wykorzystują podatność NAS, związane z tym ryzyko oraz niezbędne kroki, jakie można podjąć w celu zabezpieczenia pamięci masowej sieci. Od konfiguracji najlepszych praktyk po strategie tworzenia kopii zapasowych, ucz się, jak zachować odporność i ochronę danych.

MD

Michel Duar

Wyświetl wszystkie wiadomości Michel
Cybersecurity Cybersecurity NAS Storage
Chroń NAS przed atakami Ransomware

Spis treści

Dlaczego umorzenia NAS są wielkimi celami

Koncentrat urządzeń NAS krytyczne ilości danych (kopie zapasowe, akcje plików zespołowych, archiwa) w jedno urządzenie. Dla napastnika szyfrowanie lub wydalanie tego centralnego punktu zapewnia maksymalna dziwignija finansowa aby zmusić ofiary do zapłacenia okupu: jedno urządzenie może zakłócić całą organizację.

Serwer NAS jest zazwyczaj zawsze online i osiągalne przez IP, ujawnianie usług, takich jak SMB / CIFS, NFS, AFP, FTP / SFTP, WebDAV, panele administratora oparte na sieci lub funkcje synchronizacji w chmurze. Ta szeroka powierzchnia ataku ułatwia zautomatyzowanym skanom i aktorom zagrożeń odkrywanie i wykorzystywanie wrażliwych lub przestarzałych systemów.

Środowiska NAS często cierpią z powodu błedne konfiguracje: odziedziczone konta, słabe hasła, UPnP lub przesyłanie portu włączone, akcje gości, i nadmiernie dopuszczalne przywileje. Atakujący korzystają z Kredytu nowe pozwolenie and distributed brute force attempts through botnets to gain initial access.

Wiele urządzeń również brakuje koñce podjêto zobowiêzañ ze względu na uznanie urządzeń "set and forget". Nieokiełznane słabości oprogramowania firmowego pozwalają atakującym szybko i w skali, wiedząc, że systemy te często przechowują dane niezbędne zarówno dla jednostek, jak i dla przedsiębiorstw.

Zrozumienie Ransomware Ataki na NAS

Ransomware docelowy NAS następuje przewidywalne łańcuch kill przystosowane do urządzeń magazynowych. Po zdobyciu oparcia, atakujący kod stopniowy, który może wyliczyć akcje, manipulować migawkami i szyfrować pliki z prędkością przy minimalizowaniu alarmów. Celem jest odmowa danych często podgorzne lub potrójne wymuszenie poprzez eksfiltrację.

Typowy przekaz na NAS

  1. Odkrycie & Wyliczenie: mapy złościwego programu Wolumeny, akcje, punksy montowania i rozłożona typy systemów plików (ext4, Btrfs, ZFS) w celu optymatyzacji własności i komunikacji.
  2. Walidacja uprawnień: wymaga uprawienia do Pisania i przeprowadzi eskalację (conta serwisne, osos exconutie uslugi, zarządzenie zaplanowane) w celu osiągnięcia wszystkich zobowiązań danych.
  3. Neutralizacja obronii: atrzymuje się procesy blokujace pliki (np. indeksowanie mediów, uslugi baz danych); lokalne migawki są wymienione i w kolejach do użytkowania; pojemniki do rektyklingu są wyładowywane, aby zabiec odszyskich.
  4. Konfiguracja klucza: System hybrydowy jest wszechstronny - klacze symetryczne per- file dla możliwości, a nastepnie zasyfrowe z klucz publiczny kontrolany przez atakujackiego Wiêc ofierze potrêbê przede wszystkim klucza, ¿eby wytrêæ.
  5. Selektywne szyfrowanie: partie systemowe i boot są zastępowane mijane; ścieżki danych użytkowników, reputacji kopi zapasowych i foldery własne są przednierzane z wielkotykowa I / O. Nazwy plików mogą być zmienione i dostarczone jest rozrzedzenie.
  6. Notatka na okup & komunikaty: notatki są upuszczane w każdej akcji; URL TOR lub pasta - strona plus a identyfikator ofiary instrumenty płatności i ulgi - deszyfrowania kroków.

Dlackiego techniki centralne NAS- są skuteczne

  • Centralna agregacja danych oznaca mniej punktów koñcowców do szyfrowanii dla maksymalnego uderzenia.
  • Czy do końca życia over SMB / NFS / WebDAV umożywia działalność masową i szybkie przeniesienie w wielu katalogach użytkowników.
  • Manipulanie mysżą: skrypty docelowe harmoniogramy migawek i retencji, a nastepnie wyróżnić je usuń lokalne opcje rollback.
  • Automatyzacja bez blisku: Przyjazne do NAS binarie provadzone bez UI, utrzymuje się poraz cron, skrypty init, lub app- center haki, i przecrwa reboom aż dyski są remounted tylko read-.

Często obsługiwane na serwerze NAS

  • Zbiory kredowe: odpisy referencji lub lewaruje glavisze uzywane przez zapowiedź synchronizacji / twórzenia kopii zapasowych w celu uzyskania dodatkowych akcji lub zdalnych celów.
  • Szyfrowanie plików bocznych: gdy serwer NAS jest klientem innej pamiêci masowej (iSCSI, NFS), Ransomware poda ¿za te oprackami w celu rozwi ± zania oddzia ³ ania.
  • Pędzle: szybkość jest celno przyspieszana, aby zjednoczyć hałowany procesor i kolców dysku, które mogą wypalić alarię.
  • Integralność Sabotażu: Wyłączona zaplanowana fartuchy, testy SMART, lub reblikation, aby Zapobiec "samogojeniu" przed nadpisaniem zaszyfrowych danych.

Warstwy do ekstrakcji i ekstrakci

Nowoczesne operatorów często dodać Kraj danycz przed szyfrowaniem. Na serwerze NAS może być używany built- in Cloud Sync, Rsync, SFTP, lub zamontować zewnętrzne wiadro. Po eksfiltracji ofiary mają ciśnienie warstwowe: deszyfr- lub- pay, Wyciek lub wypłata (ujawnienie informacji publicznej), a czasami DDoS by zmusić do negocjacji.

Artefakty i wskaźniki

  • Zmiany systemu plików: nagla fala maly pisów, jednolitte rozszerzenia plików, notatki okupu reblikowane na katalog.
  • Ślady kontroli: nieoczekiwany logowanie admin, rozmowy API, edytuje zadanie, lub instaluje paczki z niefikcyjnymi repozytoriów.
  • Zdarzenia migawkowe: masowe korzystanie z lub wyłączenie zmian, po których następuje awaria pracy.
  • Wzory sieci: województwo Bramki TOR, pasty, lub zaszyfrowe punkty koñcowe komendy i kontroli.

Zniesienie należności celowych

Podmioty grożące często dostosowują ładunki dla Państwo konkretne pakietów i lokalizacje (np. domyślne ścieżki akcji, wspólne katalogi kopii zapasowych). Niektóre odmiany szczepów statków do uruchomienia przez SSH, zajęty Oslony skarży się lub gdze trwania konkurera, zapewniając wykonanie nawet na minimalnym systemie.

Dlacze odjazdowe jest częścią skomplikowanego

  • Czystki myjące i używane koszty rektykling wyeliminowały łaty przywracania.
  • Szyfrowane repozytoria kopii zapasowych na tym samym NAS lub zamontować woluminy do wsparcie korupcii.
  • Zatrzymanie klucza jest calkowicie zdalny; lokalne odszywanie bez prywatnego klucza napastnika jest zaczajem niebykonalne.

Zrozumienie tych mechanizmów pomaga priorytetowo kontroli, które zakłócają każdy etap łańcucha - twardszy dostęp, ochrona migawek, izolowanie kopii zapasowych i monitorowanie precyzyjne sygnały Szyfrowanie na dużą skalę.

Wszystkie zabezpieczenia w systemie NAS

Uwierzytelnianie i niedopełnianie w ramach

  • Domniemane lub ponownie wydane dane dotyczące wydalenia pozostawione aktywne na kontach administracyjnych i serwisowych, w tym built- w użytkownikach utworzonych podczas konfiguracja.
  • Brak MFA na konsolach internetowych, aplikacjach mobilnych lub w chmurach sprzedających usługi "przechowalnice", które dostarczają do serwera NAS.
  • Udziałały ndemierne (np., czytaj / pisz dla wszystkich, dost. Gości) i ACL, które przybyły pelna kontrola użytkowikom niewiedzionym.
  • Znaczniki API i klucze SSH Przemysłowe na serwerze NAS bez rotacii, passphrases lub ograniczanie zakresu.

Niepewne narażenie sieci

  • UPnP / NAT- PMP auto- port- spedycja które po cichu podlega usługom administratora lub pliki do internetu.
  • Bez zobowiązań do SMB / NFS / WebDAV / FTP lub interfejsu admin zamiast tras hartownej bramy lub VPN.
  • Legacy i slabe protokoly: własny SMBv1, nieskończenie SMB, anonimowe FTP, NFS z no _ root _ squash lub światowej twórczości przedsiębiorstwa.
  • Luki w certyfikacie i HTTPS: nie wyróżnić własnych certyfikatów, HSTS nieobecny, HTTP dozwolone obok HTTPS.

Klapy zarzadzania latami i firmware

  • Zaległy program firmy i aplikaty zawierają środki określone zgodnie z kosztem lub opłatami za usługi.
  • Automatyczne akty prawne lub odroczenie nowego uruchomie, które obejmuje ograniczanie nierównowagi przez tygodnie lub miesiące.
  • Niezweryfikowane dodatki zainstalane z repozytoriów strony trzecich o nieznanej konserwacji lub higieny łańcucha suppl-.

Uzyskanie, system plików i mylenie konfigurowania

  • Zapisywalne republitoria kopi zapasówki hostowane na tym samym serwerze NAS, które posiadają również dane dotyczące produkcji, mogą mieć wpływ na zakres produktów.
  • Zdżecie bez zasiedlenia: brak niezmienności, krótki retencji, lub snapshot katalogi narażone na użytkowników z prawem użytkowania.
  • Kosze do recyklingu globalnego własny, ale częściowo automatycznie lub pośrednio dla niektórych użytkowników, które mogą mieć wpływ.
  • Niechrodowe uprawienia Pomieszcza zbiorami danych (mieszanie ACL POSIX i ACL poziomu akcji), które stanowią nienależnie dobraną do kapisu.

Ślada użytkowa i aplikacja

  • Niepotrzebne uslugi pozostaja uruchomione (indeksy multimedialne, bazy danych, serwery zdyć) zwiększałe powiązki ataku.
  • Aplikacje kontenerowe przyzanne przywileje hosta ( -- uprzywilejowany, host networking, szeroki toom mounts), który omija izolację.
  • Moduły Rsync Eksportowane bez podania informacji lub ze słabym tajemnikami osadadzimi w skarbach i zarządach kopii zapasowych.
  • Zła synchronizacja chmur skonfigurowane jukierunkowe uslugi i najadnych zakresów, co stoi na złoźliwych rozwiązaniach.

Ryzyko zmowione z tożsamością, katalogiem i integracją

  • Słaba integracja katalogów: zle połówkowa grupa LDAP / AD, zgrabne grupa lub grupa zagnieżdżona, która przyzna się do prawa do administrowania.
  • NTLM / NARAŻENIA NA PRZEKAZYNIU za pomocą pełnej konfiguracji SMB lub braku podpisu, łącząc przetwornik na NAS.
  • Rachunki ujytkowane do produkcji kopii zapasowych lub zabiegów medialnych administrator Rola i hasła, która nigdy nie wychodzi.

Logowanie, monitorowanie i przechodzenie na czadu

  • Wyłączone lub minimalne logowanie w sprawie dostępu do plików, działań administracyjnych i administracyjnych.
  • Brak zwolnił się z działań do syslog / SIEM, więc manipulacji lub analizy po incydencie staje się trudne.
  • Przedsiębiorstwo zegara z brakującego lub związanego z nim NTP, łamanie korespondencji log i harmoniogram migawki.

Bramy chrony i szyfrowania danych

  • Brak szyfrowania na poczcinek dla wszystkich przedsiębiorstw danychlub kluczy przechodniów bez zagospodarowania na tym samym urzêdzie.
  • Brak nieumyślność / WORM na krytycznych kopiach zapasowych i migawek, które mają na celu zmianę lub usunięcie historii.
  • Nominacja jednego z rodzajów działalności (tylko RAID) mylony z kopii zapasowej; awaria sprzedaży lub szyfrowania nadal prowadzi do utraty danych.

Rozporządzenie fizyczne i środki

  • Konsole niezalezpieczone (USB / HDMI / serial) pozyla na lokalne resety, manipulacje uruchomienim lub nieeautorizowane tryby odzyskiwania.
  • Hamulec UPS prowokuje do niedawna zamknąć, które zapewniają migawki lub metadane i komplikacje odszywania.

Czynniki operacyjne i ludzkie

  • Shadow IT: aktje osobiste i nieuzatwierdzone aplikacje / skrypty uruchomione z podniesionymi uprawnnieniami.
  • Niepodległość lista użytkowników, akszy i otwartych portów, posiadających osierocone środki dostępne na miejcu.
  • Niedbalstwo w tej kopii zapasowa: przywraca nigdy nie zatrędne, rozdziały po cichu zawadi po zmianie programowania firmowego lub topologicznego.

Najlepsze sposoby wykorzystania serwera NAS

Rozporządzenie wykonawcze i wykonawcze

  • Enforce silne, unikalne hasla dla kazdego konta, unikacje slowników lub poczatku wystepuja referencje w róznych uslugach.
  • Władze wierzycielskie (MFA) zawsze obsesje, szczegó ³ owo dla konta admin i zdalnego dostêpu.
  • Ogranicz użycie admin: tworzenie dedykawanych kont non- admin dla la codziennego dostêpu do plików, rezerwanie uprawneń admin tylko dla zadania ustrzymania.
  • Odebrać referencje i przekazać API Regularnie i cofa te, które są nieużywane lub zagrożone.

Ograniczenie wydatków sieciowej

  • Unikaj bezposredniego ujawniania uslug NAS do internetu; wyskakuj za pośrednictwem VPN, bezdzietna brama lub hosta bastion.
  • Wyłączenie przystąpienia UPnP i autoportów Abi zabiec otwarciu dostêpu zewnêtrznego bez Dwie wiedze.
  • Użyj zasad firewalla ograniczenie wysokości łącznych do zaświadczeń IP i pozycji zachodnich.
  • Wymuszenie bezstronnych protokołów: Wyłączyć dotychczasowe (np., SMBv1, Telnet) i preferować SMBv3 z syfrowanim, SFTP, HTTPS.

Harden NAS Konfiguracja

  • Dzieje i usługi niezwiązane ze zobowiązaniami, wyłączając te, które nie są wymagane, takie jak otrzymanie pomocy lub nieuleczalność aplikacji multimedialnych.
  • Wymuszenie najmniejszego przywileju: stosoć ACLs ostroznie, aby uzytkownice i aplikacje mial dostep tylko do nich.
  • Wł ± cz audyt w sprawie akcji ogólnych na piśmie, kto ma dostęp do danych lub je modyfikuje.
  • Chroń migawki z niezmienną lub tyłko adminowanie prawa do usuwania, aby zabiec manipulacji.

Uaktualnianie systemów

  • Zainstaluj aktualizacje programu i programu natychmiast do łatania słabych punktów bezpieczeńskich przed ich wydaleniem.
  • Własne akty prawne jeśli jest dostępny, ale wykazuje zgodność w środkach testowych dla celów o krytycznym znaczeniu dla przedsiębiorstwa.
  • Korzystanie z przemysłem dotyczącym zobowiązań i zobowiązań które nie są już uważane, ponieważ część z nich obejmuje nieodwołalne decyzje.

Wdrożenie solidarnych strategii dotyczących kopii zapasowych

  • Postuj zgodnie z regułą 3- 2-1: Przekazać trzy kopie danych, przedłożyć na dwa inne nazwy, z co najmniej jedną kwotę na zewnątrzny.
  • Oddziel kopie zapasowe z głownego serwisu NAS dla użytkowników pamięci masowej offline lub nieśmiałych wiader chmur, aby zapocząć ich przez Ransomware.
  • Badanie przywraca regularnie w Celu zapalenia, że kopie zapasowe są nie tylko konieczne, ale również funkcjonalne i kompletne.

Włoskie szyfrowanie i chronine danych

  • Szyfrowanie danych w spoczynku w miarze moźliwości z kluczami przechodzącymi przez serwer NAS.
  • Użyj TLS / SSL dla dni w trakcie Zaangażowanie komunikacji między plikami a serwerem NAS.
  • Bez podatku dochodowego przez wyjęcie nieuchronnych portów konsoli i umorzenie należności w zamianach, kontrolowanych nabytych środków.

Poprawa monitorowa i wpisów

  • Akcji logowania dla zgłoszeń systemowych, przedpłaty i świadczenia do plików.
  • Wyżyj logi do zdalnego serwera SIEM lub syslog Więc napastnicy nie mogą wystawić śladów.
  • Ustawia wisy dla anomalii, takich jak masowe zmiany plików, nietypowe preby logowania lub usuwanie migawek.
  • Regularne wprowadzanie środków wyrównawczych przez właściwe określenie poddanego lub nieautoryzowanego zachowania.

Kontrole segmentacji i integracji

  • Uzyskanie zatrudnienia NAS w izolowanych segmentach sieci, uwzględniając je od systemów nabywania miejsc lub czynności związanych z ochroną środowiska.
  • Restrict integracje katalogów Niekoniecznie grupie i eksponowanie bezstronnych powiatów LDAP / AD z zastrzeżeniem ruchem.
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 668 / 2014 z dnia 16 lutego 2014 r. ustanawiające szczegółowe zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1107 / 2009 w odniesieniu do zwolnień na korozję z zastrzeżeniem podpozycji (Dz.U. L 153 z 11.6.2014, s. 1) i regularnie przedstawiana jest integracja za pomocą usług w chmurze lub programie do tworzenia kopi zapasowych.

Dyscyplina operacyjna

  • Wytwórnia energii elektrycznej Wykrywanie otwartych portów, niekolistańskich kont lub rycerskich zmian zewnętrznych.
  • Dokument planu naprawy z działań związanych z etyką w przypadku wywiązywania się ze świadczeń lub innych kosztów.
  • Administratorzy i przedstawiciele państwa Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1303 / 2013 z dnia 11 grudnia 2013 r. w sprawie Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Morskiego i Rybackiego oraz uchylające rozporządzenie Rady (WE) nr 2371 / 2002 (Dz.U. L 347 z 20.12.2013, s. 671).

Poprzedni artykuł

Optymalizacja NVMe SSD: Porady do zwiększenia Lifespan & Prędkość

Następny artykuł

Pojawiające się zagrożenia dla danych w 2025 r. i jak chronić siebie

Artykuły pokrewne

Zagrożenia dla danych 2025 r.: Pojawiające się zagrożenia & Ochrona
Cybersecurity Wrz 06, 2025

Pojawiające się zagrożenia dla danych w 2025 r. i jak chronić siebie

W 2025 r. zagrożenia cyfrowe ewoluują szybciej niż kiedykolwiek. Od ataków cybernetycznych z napędem AIA i głębokich oszustw po zagrożenia kwantowe i podatności na IoT, jednostki i przedsiębiorstwa stoją w obliczu coraz większych wyzwań. Ten artykuł bada najbardziej naglące pojawiające się zagrożenia i zapewnia strategie działania w celu ochrony danych, zapewniając, że pozostają przed sobą w coraz bardziej połączony świat.

MD
Michel Duar
min