Met enige simpele maatregelen beschermt u uw NAS tegen het gevaar van ransomware-virussen. In dit artikel reikt Automatux u een aantal beveiligingstips aan.
NAS
Een NAS staat voor Network Attached Storage en bestaat uit een kastje met een of meer harde schijven die via het netwerk (windows netwerk, ftp, etc.) wordt benaderd voor data-opslag. Veel mensen, particulieren alsook ondernemers, gebruiken een NAS voor het opslaan van hun digitale (bedrijfs)data. Bij particulieren is een NAS vooral populair als archief voor de digitale foto-verzameling.
Als ransomware eenmaal toegeslagen heeft is het vaak te laat om nog iets te kunnen doen..
Onlangs kreeg Automatux een hulpvraag van iemand wiens bestanden niet langer geopend konden worden, omdat een zogeheten ransomware-virus alle gegevens op zijn NAS apparaat (merk QNAP) had versleuteld. Via een tekstbericht in elke gedeelde netwerkmap op de versleutelde NAS werd het slachtoffer verzocht een bedrag van ca. $ 500,- in virtuele munt bitcoin naar een anoniem bitcoin-adres te versturen via het geanonimiseerde Tor-netwerk. De criminelen beloven daarna de sleutel (voor dit type virus bestaande uit maar liefst 32 willekeurige toetsenbordtekens) naar het slachtoffer te sturen, zodat deze zijn versleutelde gegevens kan ontsleutelen.
Automatux wist, door analyse van een aantal versleutelde bestanden, vast te stellen om welk ransomware-virus het hier ging, te weten “eCh0raix” een door criminelen doorontwikkelde versie van het al een aantal jaren voorkomende QNAPCrypt virus.
Voor veel ransomware-virussen zijn inmiddels zogeheten decryptietools beschikbaar, via een website die ook door de Nederlandse Politie wordt ondersteund, deze heet No more ransom Deze website is overigens een aanrader voor iedereen die met deze vorm van cybercriminaliteit te maken krijgt of zich er beter tegen wil beschermen.
Helaas bleek voor het vastgestelde virus geen decryptietool aanwezig. De cybercriminelen die achter deze ransomware zitten, zijn het afgelopen jaar sluwer geworden. De sleutel waarmee de bestanden op een met door eCh0raix geïnfecteerd (NAS)systeem zijn versleuteld, is niet gegenereerd door de malware zelf, maar door een sleutelgenerator op het dark web. Zonder te weten op basis van welke algoritme de sleutel is gegenereerd, is het praktisch onmogelijk om de bestanden te ontsleutelen.
Na deze research moest Automatux de klant helaas teleurstellen. Bij het betalen van een chantagebedrag naar cybercriminelen kunnen wij principieel niemand van dienst zijn, omdat we daarmee feitelijk een crimineel verdienmodel in stand houden. Terwijl de vraag blijft of de criminelen na betaling in virtueel geld wel datgene doen wat ze beloofd hebben; daadwerkelijk een middel bieden om de bestanden van het slachtoffer te ontsleutelen (er zijn legio voorbeelden waar dat niet is gebeurd..). In dit geval is het wachten tot de criminele bende wordt opgerold en de politie informatie kan delen via de No more ransom website.
Deze case liet ook bij Automatux een teleurstellend gevoel achter. Maar ook frustratie, omdat deze ransomwarebesmetting met toepassing van een paar vuistregels wellicht nooit had plaatsgevonden.. daarom krijgt u hierbij een aantal NAS-tips waarmee u kunt voorkomen dat uzelf ooit het slachtoffer wordt van ransomware.
Met onderstaande vuistregels, maakt u het cybercriminelen vrijwel onmogelijk om uw NAS te infecteren met ransomware
8 TIPS OM DE GEGEVENS OP UW NAS TE BESCHERMEN TEGEN RANSOMWARE
- Geef de administrator account op uw NAS een behoorlijk wachtwoord van minimaal 15 tekens waarin ook symbolische tekens zijn opgenomen.
- Indien mogelijk (Synology) verander dan de naam van de admin gebruiker. Op een QNAP Nas is dit niet mogelijk. Maar u kunt u een aparte gebruiker aanmaken met administrator-rechten, waarna u met deze nieuwe administrator inlogt en de standaard admin gebruiker uitschakelt.
- Maak reguliere gebruikers aan in het gebruikersbeheer van de NAS. Dit zijn gebruikers die geen administrator-rechten hebben (behorende tot de groep Everyone), maar wel de nodige lees-/schrijfrechten op de gedeelde netwerkmappen kunnen worden toebedeeld. Gebruik deze (beperkte) gebruikers voor netwerkcommunicatie tussen de NAS via het Windows netwerk, FTP of elk ander netwerkprotocol met de computer of laptop. De administrator account moet u uitsluitend gebruiken voor het instellen van de NAS via de beheerinterface in de browser.
- Zet geen poorten open in uw (modem)router via een zogeheten portforwarding. Als u dit al doet, zorg dat de firewall op de NAS is ingeschakeld en filtert op specifieke ipadressen. Kies liever voor de oplossing hieronder.
- Wilt u via het internet externe toegang hebben tot de beheerinterface of de bestanden van uw NAS, kies dan bij voorkeur voor een door de fabrikant aangeboden beveiligde oplossing. Zo kunt u uw Synology Nas na de aanmaak van een zogeheten Synology-account via een beveiligde https url zonder enige aanpassingen in de firewall van uw (modem)router bereiken. QNAP biedt een vergelijkbare oplossing door de aanmaak van zo'n online account.
- Installeer een speciale addon die uw NAS met regelmaat scant op de aanwezigheid van eventuele malware. Zo is er voor de QNAP de gratis addon Malware Remover voor download beschikbaar.
- Werk het besturingssysteem en eventuele addons op uw NAS via de zogeheten firmware-update met regelmaat bij naar de laatste versie. Een Synology gebruikt DSM en een QNAP heeft QTS. Zo’n firmware-update laat zich zelfs automatisch installeren via een instelling in de beheerinterface (Synology).
- Last, but not least (!) Zorg dat u altijd (ook als u bovenstaande beveiligingsmaatregelen hebt toegepast) een kopie van al uw bestanden op de NAS bewaart, bijv. op een externe harde schijf die u via een usb-poort kunt aansluiten op uw NAS. Sluit deze alleen aan, wanneer u een duplicaat maakt van de data op de NAS en berg deze dan weer op. Het moge duidelijk zijn dat zo'n tweede (liefst ook een derde) backup de gevolgen van een ransomware-besmetting van de NAS veel minder ernstig maakt. U kunt dan zelfs overwegen om de NAS te resetten en de harde schijf/schijven daarbij te formatteren voor een herstart en al uw gegevens van de externe harde schijf terugzetten.
Overigens kan Automatux u ook behulpzaam zijn bij het beveiligen van uw NAS en uw kostbare gegevens. Neem gerust contact op voor een afspraak.
NOOT: in dit artikel wordt specifiek ingegaan op de twee meest verkochte merken QNAP en Synology,
maar in hun algemeenheid hebben de tips ook betrekking op andere merken NAS apparaten