Какво да правите ако хакери криптират вашия NAS сървър

„Нашият сървър на QNAP NAS беше хакнат и криптиран. Моля, помогнете! Можем ли да възстановим данните си?“

Ето как можете да възстановите файлове от хакнат и криптиран NAS сървър. Не е задължително да е QNAP – но тази марка беше засегната особено зле през юни 2020 г. Моля, обърнете внимание – сървърът е местопрестъпление, точно както сте виждали по телевизията. Трябва да внимавате, когато го „докосвате“, тъй като всеки ход, който правите в и около хакната машина, може да доведе до изгубването на:

  1. Доказателствата, които биха могли да покажат как се е случило, защо и как можете да го предотвратите в бъдеще
  2. Шансовете за възстановяване на файловете от този сървър
Това означава, че ако искате да съберете доказателства, които по-късно да послужат в съда, например ако искате да съдите хората, настроили вашия NAS сървър неправилно – то трябва да пазите всички настройки както са и да не променяте нищо по хакнатото устройство докато не бъдат събрани доказателства от експерт по digital forensics. Много често NAS сървъри биват настроени и продавани без никакви усилия или настройки за сигурност – като при правилно изготвен договор за обслужване, отговорността за това трябва да е на вашия ИТ доставчик или интегратор. 

Ето как обикновено се случват тези пробиви и как хакерите криптират NAS сървъри

Хакването и криптирането на NAS сървърите е невероятно изгодно за престъпниците в световен мащаб. Рисковете са ниски, а шансовете за финансова изгода, когато жертвата плаща откупа, са високи. Ако криптираха домашния компютър на обикновен човек, има вероятност той просто да си преинсталира компютъра. Но ако криптират NAS за съхранение на корпоративни данни, те са жизненоважни за операциите на компанията и ако не бъдат възстановени, биха могли дори да доведат до фалиране на бизнеса. Тъй като хакерите оперират с биткойн или други криптовалути, е невероятно трудно (но не невъзможно) да проследите парите обратно към тях.

Те търсят уязвимите NAS сървъри в световен мащаб, използвайки автоматизирани скенери за уязвимости и се опитват да познаят паролите или да се възползват от уязвимости в тези сървъри. След като се открие уязвимост или се отгатне парола, те влизат и стартират програма за криптиране.

криптиран NAS сървър

Изображението по-горе е техническа схема за това как хакерите атакуват NAS сървър, преди да криптират всички данни на него. Това, което трябва да гледате като първоначален вектор на взлом, е първата колона: „Първоначален достъп“. Ако попитате „как се случи“ – отговорът обикновено се крие там.

Хакерите обикновено имат повече цели от криптирането на вашия NAS.

Какви са те?

  1. Целта винаги е да се направят пари.
  2. Запазване контрола върху сървъра, докато не получат поискания откуп
  3. Ако жертвата откаже да плати, те трябва да „убедят“ жертвата да го направи. Как?
    1. Вземат копие на всички данни, преди да ги криптират и го изтеглят на своите компютри.
    2. След това тези данни се анализират за възможности за изнудване. Те биха могли да изнудват компанията на жертвата или нейните клиенти. Така че виждате колко бързо нарастват възможностите им за осигуряване на печалба.
    3. Виждали сме и случаи, когато хакерите започват да изнудват служителите и ръководството на компанията с лични данни, съхранявани в откраднатите данни.
  4. Ако промените всички пароли на този NAS сървър, той все още не е защитен. Хакерите обикновено инсталират скрити задни вратички за достъп до сървъра. След това през тези вратички или с помощта на rootkits следят всяко влизане, виждат всяка нова въведена парола и могат да си върнат контрола над сървъра по всяко време.
  5. Ако не спечелят пари откуп, те все още могат да използват сървъра за „добив“ на криптовалута, с други думи, да използват неговите компютърни ресурси. Също така наблюдавахме случаи, когато компрометирани сървъри за съхранение на NAS са били използвани за разпространение на порнография или пиратско съдържание, за което компанията-жертва може да носи отговорност. 

Всяка секунда, в която хакнатият сървър продължава да работи, растат следните рискове:

  1. Операционната система, инсталираните приложения и работещите услуги произвеждат хиляди операции за запис в секунда. Всяка операция за запис презаписва възстановими файлове, така работят операционните системи и приложения. Всяка секунда в която компрометираният NAS сървър е включен, вие губите все повече и повече възстановими данни. Изключете го!
  2. Направете forensic копие на дисковете. Ако това е виртуална машина, имате късмет – просто копирайте (пълно копие, без снимки!) виртуалната машина. След това направете малко по малко копие на дисковия файл на виртуалната машина. Използвайте FTK Imager, за да направите forensic копие на всякакви дискове, файлове или виртуални машини. Използвайте обикновената функция за копиране само ако използването на forensic софтуер за бекъп на хакнатия сървър не е възможно.
  3. Ако е възможно, направете всичко по-горе, като се уверите, че мрежата е изключена. Дори ако сте променили всички пароли за достъп до сървъра, ако има инсталиран руткит или бекдор, хакерите са с вас там и могат да продължат да причиняват щети, течове на данни, криптиране на файлове отново.
  4. Започнете процеса на възстановяване чрез включване на нов сървър с копие на копието на дисковете. Като алтернатива, стартирайте копие на копието на виртуалната машина. Никога не докосвайте оригиналното копие на дисковете на заразения сървър! Това е единственият ви шанс да имате непокътнати доказателства и данни, с които да работите за възстановяването на файлове а също така които могат да бъдат използвани в съда.
  5. Никога не се доверявайте отново на първоначално заразения или компрометиран NAS сървър. Хакерите са невероятно добри в криенето на „задни вратички“ – на някои са необходими до 8 години, за да бъдат открити от компаниите за киберсигурност. Спомнете си ВСИЧКИ пароли, използвани някога за достъп до този компрометиран NAS сървър – никога не ги използвайте отново и ако все пак ги използвате някъде другаде, променете ги – защото хакерите вече ги знаят. Ако сте използвали шаблон – никога не използвайте този шаблон на парола отново. Всички идентификационни данни, използвани от вашия ИТ екип за достъп до този сървър, сега са вероятно компрометирани. Те също трябва да бъдат променени към изцяло нова парола. Никога повече не използвайте комбинация като P@ssw0rd123!
  6. Инсталирайте нов NAS сървър от нулата и започнете да качвате чисти данни върху него само след като го защитите срещу пробив. Това означава:
    1. Следвайте указанията на DISA STIG за повишаване на сигурността, в зависимост от операционната система на сървъра.
    2. Актуализирайте целия софтуер на сървъра, а не само операционната система – ако този софтуер има STIG за него, използвайте го.
    3. Използвайте 25+ символни пароли, уникални за този сървър.
    4. Ако е възможно, активирайте двуфакторно удостоверяване за влизане като администратор на сървъра. Това е вашият NAS сървър, само парола не трябва да предоставя достъп до него.
  7. Декрипторите за криптирани NAS сървъри обикновено стават достъпни след известно време. Може да е седмица; може да е шест месеца или година, или никога. Запазете оригиналното forensic копие в на сигурно място, ако възстановяването на файлове е било невъзможно. Проверете какъв е бил използваният метод за криптиране и следете за наличието на декриптор.

Ако искате да видите как да предотвратите това, преди дори да се случи, отворете нашата страница за услуги за киберсигурност –  ние използваме 14 различни начина да се борим срещу хакерски атаки. Нито един от тях не е антивирусна програма.

Ние съществуваме, за да ви помогнем. Използвайте спешния номер в горната част на сайта или се възползвайте от страницата за контакти - ще ви помогнем незабавно.

Нашият кризисен екип не изисква незабавно плащане.
Ние първо помагаме на клиентите си и само при тяхното съгласие изпращаме фактура.