QNAP avverte: il ransomware Checkmate prende di mira i NAS. Come ridurre i rischi

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...hi_108449.html

QNAP ha avvisato i propri clienti di proteggere i NAS da possibili attacchi basati sul ransomware Checkmate. Nel bollettino di sicurezza l'azienda, che sta ancora verificando la portata del problema, illustra alcune contromisure.

Click sul link per visualizzare la notizia.

[Saturn]

Io ancora non mi capacito di come si possa lasciare un nas raggiungibile da chiunque su un ip pubblico, senza alcun tipo di protezione. Neanche uno straccio di vpn sgangherata per collegarsi, niente.

Magari poi con le credenziali "di fabbrica". admin/admin o admin/password per andare sul sicuro !

Chiariamoci, come sempre auguro di cuore il peggior destino possibile, ad esempio vent'anni di pena da scontare in miniera a spezzarsi la schiena, ai delinquenti criminali come questi che si arricchiscono ricattando il prossimo.

Sono pure raggiungibili tramite telegram per le trattive per il decriptaggio dei files, questi ignobili suini. Nel link c'è anche il tool per il ripristino dei files compromessi.

[Lain84]

Quote:

Originariamente inviato da Saturn

Io ancora non mi capacito di come si possa lasciare un nas raggiungibile da chiunque su un ip pubblico, senza alcun tipo di protezione. Neanche uno straccio di vpn sgangherata per collegarsi, niente.

Magari poi con le credenziali "di fabbrica". admin/admin o admin/password per andare sul sicuro !

Chiariamoci, come sempre auguro di cuore il peggior destino possibile, ad esempio vent'anni di pena da scontare in miniera a spezzarsi la schiena, ai delinquenti criminali come questi che si arricchiscono ricattando il prossimo.

Sono pure raggiungibili tramite telegram per le trattive per il decriptaggio dei files, questi ignobili suini. Nel link c'è anche il tool per il ripristino dei files compromessi.

Sò personalmente di persone che lavorano nel campo IT che lasciano storage aziendali esposti sulla intranet (senza separarli da vLAN, rete differente, etc) e su internet con le password/porte di default

[Saturn]

Quote:

Originariamente inviato da Lain84

Sò personalmente di persone che lavorano nel campo IT che lasciano storage aziendali esposti sulla intranet (senza separarli da vLAN, rete differente, etc) e su internet con le password/porte di default

E magari accessibili dalla rete wifi guest. Questa è gente che o è completamente incompetente o completamente svogliata. In entrambi i casi da licenziare e mandare a casa. Subito.

Altro che campo IT, questi farebbero danni anche a raccogliere frutta nei CAMPI.

[baruk]

Quote:

Originariamente inviato da Saturn

Io ancora non mi capacito di come si possa lasciare un nas raggiungibile da chiunque su un ip pubblico, senza alcun tipo di protezione. Neanche uno straccio di vpn sgangherata per collegarsi, niente.

Magari poi con le credenziali "di fabbrica". admin/admin o admin/password per andare sul sicuro !

Chiariamoci, come sempre auguro di cuore il peggior destino possibile, ad esempio vent'anni di pena da scontare in miniera a spezzarsi la schiena, ai delinquenti criminali come questi che si arricchiscono ricattando il prossimo.

Sono pure raggiungibili tramite telegram per le trattive per il decriptaggio dei files, questi ignobili suini. Nel link c'è anche il tool per il ripristino dei files compromessi.

Se ti dicessi che in diverse strutture CNR non è automatica la concessione di una VPN?

[Saturn]

Quote:

Originariamente inviato da baruk

Se ti dicessi che in diverse strutture CNR non è automatica la concessione di una VPN?

Prendo atto !

[William Somerset]

Garantire la sicurezza ad un servizio/dispositivo esposto in internet, oggigiorno è diventato un lavoro a tempo pieno.
Aggiornamenti, patch, analisi dei log, firewall, ids, edr...
Noi in azienda abbiamo beccato un ransomware e siamo stati chiusi una settimana, nonostante avessimo tutto a puntino e tutti i sistemi Enterprise (switch HP supportati, firewall Sophos, Darktrace, Office 365 Premium, etc...).
Figuriamoci come si possa solo pensare di avere un minimo di sicurezza a casa con un dispositivo esposto ad internet dove davanti c'è solamente un router home che magari non riceve neppure più aggiornamenti firmware da una vita...
A mio modesto avviso a casa o NAS rigorosamente non esposti, neanche tramite VPN, oppure servizi Cloud.

[Saturn]

Quote:

Originariamente inviato da William Somerset

Garantire la sicurezza ad un servizio/dispositivo esposto in internet, oggigiorno è diventato un lavoro a tempo pieno.
Aggiornamenti, patch, analisi dei log, firewall, ids, edr...
Noi in azienda abbiamo beccato un ransomware e siamo stati chiusi una settimana, nonostante avessimo tutto a puntino e tutti i sistemi Enterprise (switch HP supportati, firewall Sophos, Darktrace, Office 365 Premium, etc...).
Figuriamoci come si possa solo pensare di avere un minimo di sicurezza a casa con un dispositivo esposto ad internet dove davanti c'è solamente un router home che magari non riceve neppure più aggiornamenti firmware da una vita...
A mio modesto avviso a casa o NAS rigorosamente non esposti, neanche tramite VPN, oppure servizi Cloud.

Posso chiederti come è riuscito a compromettervi ? Solito allegato e-mail aperto da utente non troppo skillato oppure qualcosa di più sofisticato ?

[William Somerset]

Quote:

Originariamente inviato da Saturn

Posso chiederti come è riuscito a compromettervi ? Solito allegato e-mail aperto da utente non troppo skillato oppure qualcosa di più sofisticato ?

Allegato aperto dalla casella personale dell'utente.

Degli umani ci hanno criptato tutto, compresi i vmdk di VMware e i backup online (3 copie su 3 supporti diversi). Abbiamo dovuto restorare tutto (27TB di dati) dal backup offline si tape.

[Saturn]

Quote:

Originariamente inviato da William Somerset

Allegato aperto dalla casella personale dell'utente.

Degli umani ci hanno criptato tutto, compresi i vmdk di VMware e i backup online (3 copie su 3 supporti diversi). Abbiamo dovuto restorare tutto (27TB di dati) dal backup offline si tape.

Mi dispiace molto. Chiamare umani questi delinquenti che mettono in giro queste porcherie è un complimento però credimi. Fortuna il backup off-line, su questo siete stati previdenti. Sicuramente l'avrete già fatta la denuncia alle forze dell'ordine, servirà a poco, ma sempre meglio farla.

Solo un ultimo dubbio, se vuoi, ma come sono arrivati a criptare i backup ? Sono su percorsi/classi di rete raggiungibili nella lan da chiunque o sono andati a caccia. Domando per confrontarmi, perchè prima o poi capiterà anche a me di dovermi confrontare con questa feccia.

[William Somerset]

Quote:

Originariamente inviato da Saturn

Mi dispiace molto. Chiamare umani questi delinquenti che mettono in giro queste porcherie è un complimento però credimi. Fortuna il backup off-line, su questo siete stati previdenti. Sicuramente l'avrete già fatta la denuncia alle forze dell'ordine, servirà a poco, ma sempre meglio farla.

Solo un ultimo dubbio, se vuoi, ma come sono arrivati a criptare i backup ? Sono su percorsi/classi di rete raggiungibili nella lan da chiunque o sono andati a caccia. Domando per confrontarmi, perchè prima o poi capiterà anche a me di dovermi confrontare con questa feccia.

La denuncia l'abbiamo fatta ma ovviamente non porterà a nulla, hanno sempre agito dietro vpn...

Sono andato a caccia, ricostruendo tutto, noi IT più una società di sicurezza esterna, è emerso che sono rimasti mesi silenti all'interno della nostra rete,"studiandoci".

I backup sono su VLAN diverse gestite dal firewall, e raggiungibili solo dalla VLAN dei server...

Sono stati molto molto bravi...

Per fortuna la proprietà ha capito, oggi o crei un reparto interno di cyber security che passa tutto il giorno ad annalizzare log, traffico, comportamenti etc... oppure bisogna mettere in preventivo che prima o poi capiterà, non ci sono santi che tengano.

[Saturn]

Quote:

Originariamente inviato da William Somerset

La denuncia l'abbiamo fatta ma ovviamente non porterà a nulla, hanno sempre agito dietro vpn...

Sono andato a caccia, ricostruendo tutto, noi IT più una società di sicurezza esterna, è emerso che sono rimasti mesi silenti all'interno della nostra rete,"studiandoci".

I backup sono su VLAN diverse gestite dal firewall, e raggiungibili solo dalla VLAN dei server...

Sono stati molto molto bravi...

Per fortuna la proprietà ha capito, oggi o crei un reparto interno di cyber security che passa tutto il giorno ad annalizzare log, traffico, comportamenti etc... oppure bisogna mettere in preventivo che prima o poi capiterà, non ci sono santi che tengano.

Immaginavo che aveste fatto tutto come si deve. E tanto non è bastato. L'anello debole della catena rimangono sempre gli utenti finali della rete, non c'è niente da fare. Puoi limitarli quanto vuoi ma da quelle postazioni ci sarà sempre da temere. Poi ci mancherebbe come dici tu, avete beccato anche qualcuno che sapeva il fatto suo, ferrato nel propria malsana arte. Ovviamente riscatto da pagare in criptovalute come da tradizione...backup offline...è l'unico modo per non dover cedere...il reparto interno purtroppo non tutti possono permetterselo. Maledetti comunque...

[retuor]

Quote:

Originariamente inviato da Saturn

Chiariamoci, come sempre auguro di cuore il peggior destino possibile, ad esempio vent'anni di pena da scontare in miniera a spezzarsi la schiena, ai delinquenti criminali come questi che si arricchiscono ricattando il prossimo.

Dovrebbero scontare le stesse pene accanto a loro anche i "sistemisti" svogliati che lasciano questi accessi aperti a tutti!
Posso capire che il mondo IT è un settore in cui bisogna aggiornarsi di continuo per non restare indietro, ma non fare certe cose così basilari sono imperdonabili.