Что делать если хакеры зашифровали NAS сервер

«Наш сервер QNAP NAS был взломан и зашифрован. Пожалуйста, помогите! Можем ли мы восстановить наши данные?»

Вот как вы можете восстановить файлы с взломанного и зашифрованного NAS-сервера. Это не обязательно должен быть QNAP , но этот бренд особенно сильно пострадал в июне 2020 года. Пожалуйста, обратите внимание: сервер — это место преступления, точно такое же, как вы видели по телевизору. Было бы лучше соблюдать осторожность при «прикосновении» к нему, поскольку каждое движение, которое вы делаете внутри и вокруг взломанной машины, является вмешательством:

  1. Доказательства, которые могли бы показать, как это произошло, почему и как вы можете предотвратить это в будущем
  2. Шансы восстановить файлы с этого сервера

Вот как обычно происходят эти взломы и как NAS серверы шифруются хакерами

Взлом и шифрование NAS-серверов невероятно выгодны для преступников во всем мире. Риски невелики, а шансы на денежное вознаграждение, когда жертва платит выкуп, высоки. Если они зашифровали домашний компьютер какого-нибудь бедняги, то, скорее всего, он будет переустановлен. Но если они шифруют хранилище NAS компании, данные в нем жизненно важны для работы компании, и если они не будут восстановлены, это может даже означать банкротство бизнеса. Поскольку хакеры работают с биткойнами или другими криптовалютами, невероятно трудно (но не невозможно) отследить деньги обратно к ним.

Они ищут уязвимые сервера NAS по всему миру, используя автоматические сканеры уязвимостей и пытаясь угадать пароли к ним. Как только уязвимость обнаружена или пароль угадан, они входят в систему и запускают программу шифрования.

nas encrypted by ransomware attack pattern
Image source: https://attack.mitre.org/

Изображение выше-это техническая схема того, как хакеры атакуют сервер NAS перед шифрованием всех данных. Вы должны смотреть на то, как начальный вектор компромисса — это первая колонка: «начальный доступ.»Если вы спросите «как это случилось», — ответ обычно лежит там.

Хакеры, как правило, имеют больше целей, чем шифрование сетевого хранилища.

Каковы они? 

  1. Сделать деньги
  2. Сохранить контроль над сервером до тех пор, пока они не заработают деньги
  3. Если жертва отказывается платить, они должны «убедить» жертву сделать это. Как?
    1. Они берут копию всех данных перед шифрованием и загружают их на свои компьютеры.
    2. Затем эти данные анализируются на предмет возможности шантажа. Они могут шантажировать компанию-жертву и / или ее клиентов. Таким образом, вы видите, как быстро растут их возможности монетизации.
    3. Мы также видели случаи, когда хакеры начинали шантажировать сотрудников и руководство компании персональными данными, хранящимися в украденных данных. 
  4. Если вы измените все пароли на этом сервере NAS, он все равно не будет безопасным. Хакеры обычно устанавливают скрытые бэкдоры на сервере. Эти бэкдоры или руткиты затем отслеживают каждый вход в систему, видят очень новый введенный пароль и восстанавливают контроль над сервером в любое время, когда они хотят.
  5. Если они не зарабатывают деньги выкупом, то все равно могут использовать сервер для «майнинга» криптовалюты, другими словами, использовать его вычислительные ресурсы. Мы также видели случаи, когда скомпрометированные серверы хранения данных NAS использовались для распространения порнографии для взрослых или пиратского контента, за который компания-жертва могла нести ответственность.

Каждую секунду работы сервера вы подвергаетесь следующим рискам:

  1. Операционная система, установленные приложения и запущенные службы производят тысячи операций записи в секунду. Каждая операция записи перезаписывает восстанавливаемые файлы. Именно так работают операционные системы и приложения. С каждой секундой работы скомпрометированного NAS-сервера вы теряете все больше восстанавливаемых данных. Выключите его!
  2. Сделайте форенсик (полную) копию дисков. Если это виртуальная машина, то вам повезло-копия (полная копия, никаких моментальных снимков!). Затем сделайте побитовую копию файла диска виртуальной машины. Используйте например FTK Imager чтобы сделать полную копию дисков или файлов. Используйте обычное копирование только если зеркальное копирование невозможно
  3. Если возможно, выполните все вышеперечисленные действия, убедившись, что сеть отключена. Даже если вы изменили все пароли для доступа к серверу, если установлен руткит или бэкдор, хакеры находятся с вами там и могут продолжать наносить ущерб, утечку данных, шифрование файлов снова.
  4. Запустите процесс восстановления, включив новый сервер и скачав на него копию копия дисков—или сделайте это с копия копия виртуальной машины. Никогда не прикасайтесь к оригинальной копии дисков зараженного сервера! Это ваш единственный шанс иметь нетронутые доказательства и нетронутые данные для работы с восстановлением файла.
  5. Никогда больше не доверяйте изначально зараженному или скомпрометированному NAS-серверу. Хакеры невероятно хорошо умеют скрывать бэкдоры — некоторым из них потребовалось до 8 лет, чтобы быть обнаруженными охранными компаниями. Считайте, что все пароли, когда — либо использовавшиеся для доступа к этому серверу NAS, скомпрометированы — никогда не используйте их снова, и если вы все еще используете их где-то еще, измените их-потому что хакеры теперь знают их. Если вы использовали шаблон-никогда не используйте этот шаблон пароля снова. Любые учетные данные, используемые вашей ИТ-командой для доступа к этому серверу, теперь, возможно, скомпрометированы. Они также должны быть изменены на совершенно новый пароль. Никогда больше не используйте пароли, похожие на P@ssw0rd123!
  6. Установите новый сервер NAS с нуля и начните загружать чистые данные только после того, как они будут защищены от взлома. Это значит:
    1. Следуйте советам DISA STIG по усилению безопасности в зависимости от операционной системы сервера.
    2. Обновите все программное обеспечение на сервере, а не только операционную систему — если у этого программного обеспечения есть документированные советы для его защиты, используйте их.
    3. Используйте пароли длиннее 25 символов для администрирования сервера. 
    4. Если это возможно, включите двух-факторную автентикацию. Логин только по паролю должен быть невозможным. 
  7. Дескрипторы для зашифрованных серверов NAS обычно становятся доступными через некоторое время. Это может быть неделя, шесть месяцев, год или никогда. Сохраните исходную судебно-медицинскую копию в безопасном хранилище, если восстановление файлов было невозможно. Проверьте, какой метод шифрования использовался, и проверьте наличие дешифратора.

Если вы хотите узнать, как предотвратить такие инциденты еще до того, как они произойдут, посмотрите услуги по информационной безопасности — мы помогаем нашим клиентам в 14-ти областях защиты от кибер атак.

Finally, we are here to help. Use the emergency number on the top of this page or head over to our contact page - we will assist you immediately.

Our crisis emergency assistance does not ask for billing.
We help first and bill second only after and if you agree to the price.