Nieuw ontdekte ransomware richt zich op nas-systemen van QNAP

Er is een nieuwe ransomware ontdekt die zich voornamelijk richt op nas-systemen van QNAP. De gijzelsoftware gebruikt brute force-aanvallen om zwakke wachtwoorden van netwerkschijven te kraken.

Het gaat specifiek om de eCh0raix-ransomware. De ransomware werd voor het eerst ontdekt door beveiligingsonderzoekers van het Anomali Threat Research Team. QNAP zegt dat het werkt aan een manier om de malware van geïnfecteerde apparaten te verwijderen.

De ransomware voegt een .encrypt-extensie toe aan de bestanden en versleutelt die met aes 256-encryptie. Het gaat om vrijwel alle bestandssoorten die op de schijf staan. De malware gebruikt taalchecks om te zien of de nas in Rusland, Wit-Rusland of Oekraïne staat en infecteert die systemen vervolgens niet. Op de bitcoinadressen die gebruikt worden, is te zien dat er nog geen betalingen zijn verricht, maar het is niet zeker of dat de enige adressen zijn die de daders inzetten.

Op de forums van BleepingComputer is te zien dat in ieder geval de QNAP TS-251, TS-253B, TS-451, en de TS-459 PRO II getroffen kunnen worden, maar wellicht gaat het om meer modellen. QNAP raadt gebruikers aan een virusscanner te gebruiken om de ransomware tegen te houden.

Het bedrijf geeft ook tips waardoor gebruikers minder risico lopen om slachtoffer van de ransomware te worden. Naast het updaten van de QTS-software naar versie 4.4 en het instellen van een sterker wachtwoord, raadt het bedrijf ook aan ssh en telnet uit te schakelen en poort 8080 en 443 niet als de standaard te gebruiken, mits dat mogelijk is. Ook is het advies om Network Access Protection in te schakelen om systemen tegen brute force-aanvallen te beschermen.

Reacties (63)

darknessblade 11 juli 2019 15:15

dat is dan een gemakkelijke manier om het te stoppen, gewoon de taal omzetten naar russisch

Robkazoe @darknessblade • 11 juli 2019 15:29

Of gewoon niet je NAS direct aan het internet hangen.

procyon @Robkazoe • 11 juli 2019 15:38

Dit.

Over het algemeen staat al je persoonlijke data op je NAS. Dit is wel het laatste dat je zo aan het internet wil hangen.

Maar dit doet toch niemand? Heb zelf alleen een synology gehad en connecties verliepen altijd via synology. Geen portforward nodig dus veilig.

Of werkt dat met qnap anders?

bertware @procyon • 11 juli 2019 15:46

Geen portforward nodig dus veilig.

Daar ga je wel extreem kort door de bocht. Via die synology kan je DNS namen brute-forcen om zo NAS toestellen te vinden. Dan komen ze op je Synology inlogpagina, waar ze alsnog via brute force kunnen proberen inloggen, of eventuele kwetsbaarheden kunnen misbruiken. Op dat vlak is er amper verschil met port forwarden.

Default users uitschakelen, Brute force blokkeren, IP ranges blokkeren, custom poort gebruiken, enkel HTTPS toelaten, sterke wachtwoorden met two factor gebruiken, enkel de services blootstellen die blootgesteld moeten worden (VPN server, HTTPS dashboard als je zonder VPN wilt werken)

Met QuickConnect kan je geen SSH/Telnet toegang krijgen vanop afstand, maar die poorten moeten helemaal niet geforward worden (en die toegankelijk maken vanaf internet is om problemen vragen).

procyon @bertware • 11 juli 2019 15:51

Brute force blokkeren staat standaard aan bij Synology. Ben vaak 30 minuten door mijn eigen device gelocked omdat ik capslock aan had staan

bertware @procyon • 11 juli 2019 15:58

Goed om te horen, geen idee wat de defaults zijn gezien ik gewoon het hele configuratiescherm doorloop om alles in te stellen hoe ik wil. Bekende apparaten kun je geloof ik uitsluiten, of bepaalde IP adressen

Verder heeft Synology naast de IP-based blokkering, ook account blokkering waarbij een account na X pogingen, zelfs van verschillende IP adressen, geblokkeerd wordt voor een bepaalde periode.

bas-r @procyon • 11 juli 2019 15:46

Het is bij Synology en Qnap beide mogelijk: direct aan internet of via de fabrikant laten lopen.

Ik heb op dit moment een Qnap, en gisteren nog de laatste update gedraaid. Niet gekoppeld aan internet en ook niet via Qnap bereikbaar, dus ik ben vermoedelijk wel veilig. Maar voor de zekerheid zet ik vanavond ssh en telnet wel nog uit, want dat gebruik ik toch niet.

En weer even een backupje maken van alle data op een losgekoppelde HD.

Palo Alto @bas-r • 11 juli 2019 17:40

Je kunt je ook afvragen waarop QNAP standaard SSH en telnet aanzetten. Het merendeel van de gebruikers weet niet wat ze daarmee moeten of gebruikt het niet denk ik

pietje63 @procyon • 11 juli 2019 15:49

Eeh, hoezo zou het veilig zijn als het via Synology loopt (quickconnect?)

Via quickconnect kunnen ze bij je DSM pagina komen
Als ze daar brute force je wachtwoord kraken (afhankelijk van instellingen in DSM, niet afhankelijk van Synology servers) kunnen ze alles aanpassen (SSH aan, port forwarding via UPNP, daarna inloggen via SSH).

De andere hiervoor gegeven adviezen zijn nmm beter

[edit@reactie hieronder]Dat bedoel ik dus precies met de instellingen in DSM. Het is goed dat dit standaard aanstaat, maar dat betekent niet dat het gebruik van de connectie via Synology heilig is (bijvoorbeeld niet als je de standaard instellingen aan hebt gepast)

[Reactie gewijzigd door pietje63 op 23 juli 2024 01:05]

procyon @pietje63 • 11 juli 2019 15:54

Brute force blokkeren staat standaard aan. Dus voor 10 pogingen heb je een uur nodig.
Dus als je wachtwoord 1234 is dan is het niet veilig. Maar als het uit 10+ karakters bestaat dan ben je vrij veilig.

nightraven79 @procyon • 11 juli 2019 19:48

Paswoord: 28 karakters
NAS uitsluitend alleen bereikbaar van 2 externe Ip’s al de rest nada $_/-\o_$ $_/-\o_$

[Reactie gewijzigd door nightraven79 op 23 juli 2024 01:05]

nightraven79 @poor Leno • 12 juli 2019 08:22

je bent de leestekens én de kleine letters vergeten ;-)

ASS-Ware @procyon • 11 juli 2019 17:15

Dit.

Over het algemeen staat al je persoonlijke data op je NAS. Dit is wel het laatste dat je zo aan het internet wil hangen.

Maar dit doet toch niemand? Heb zelf alleen een synology gehad en connecties verliepen altijd via synology. Geen portforward nodig dus veilig.

Probeer dat maar eens met VPN Server die op je NAS draait, ga nie werk nie.

OxWax @ASS-Ware • 11 juli 2019 17:41

Wat juist proberen , bedoel je ?

ASS-Ware @OxWax • 11 juli 2019 20:17

Wat juist proberen , bedoel je ?

VPN gaat niet via Synology's servers, dus zul je toch een poort open moeten zetten.

Atlantis1995 @procyon • 11 juli 2019 20:06

Ik had hem (453 Pro) tot maart aan het internet hangen totdat er een virus op bleek te zitten. Het viel me op dat ik al een tijdje geen updates kreeg voor het OS. Op een forum kwam ik uiteindelijk de remedie tegen. Dit is heel magertjes gecommuniceerd door Qnap

bertware @Robkazoe • 11 juli 2019 15:48

Dan kan je evengoed een gewone harde schijf kopen. Een NAS wilt zeggen dat ik geen harde schijf moet meesleuren om bij familie foto's te tonen, dat ik vanop vakantie foto's al kan uploaden als backup, en dat verschillende toestellen kunnen syncen, of ze nu op het interne netwerk of een extern netwerk hangen. Als consument hang je ook alles achter een router, die slechts geconfigureerde poorten forward en vaak ook een basic firewall heeft.

Gewoon gezond verstand gebruiken en je toestel goed beveiligen en up to date houden. de SSH, Telnet en brute force aanbevelingen die hier gedaan worden zijn gewoon standaard beveiligingsmaatregelen en is het eerste wat je doet als je het toestel installeert.

[Reactie gewijzigd door bertware op 23 juli 2024 01:05]

bytemaster460 @bertware • 11 juli 2019 16:17

Ik vind een VPN toch nog altijd een beter oplossing dan de NAS naar buiten toe openstellen. Dan kun je alles met je foto's video's en bestanden. Je moet alleen de VPN-client even verbinden.

bertware @bytemaster460 • 11 juli 2019 17:08

't is een afweging tussen gemak en veiligheid (altijd, eigenlijk). Ik gebruik een whitelist voor toegang via een zelfgekozen poort, HTTPS, two factor, ... en VPN waarmee ik vanaf overal toegang kan krijgen. Vind het wel spijtig dat synology nog niet standaard gebruik maakt van gebruikerscertificaten voor OpenVPN, zodat je net zoals SSH met public key (evt plus wachtwoord) identifieert.

Durandal @bertware • 11 juli 2019 17:01

Er is, zeker in dit geval, geen goede reden om je NAS's SMB, ssh en zeker Telnet aan het internet te hangen. Als je foto's wilt laten zien kan je een webserver draaien en poort 80 naar buiten brengen.

bertware @Durandal • 11 juli 2019 17:06

Random poort kiezen in plaats van de gangbare houd (simpele) poortscanners en bots al weg. Geen echte beveiliging, maar helpt wel in combinatie met andere maatregelen. Ik zou geen enkel toestel in een thuisnetwerk via poort 80 vanaf internet toegankelijk maken. Verder HTTPS om een veilige verbinding te hebben.

OxWax @Durandal • 11 juli 2019 17:40

Bedoel je dan een webserver op je NAS? (ik koop er eentje binnen 2 weken)

Durandal @OxWax • 11 juli 2019 17:43

Ja.

(Als je wat meer avontuur wilt bouw je zelf een NAS met bv. linux en ZFS)

OxWax @Durandal • 11 juli 2019 17:47

heb hier al een 7 tal pc slingeren : 2 servers Xenons en bijna af AMD
Ik wil voor mn NAS een 'simpele' Synology, dus vraag sloeg daar op : webserver op Syn?

Durandal @OxWax • 11 juli 2019 18:35

https://www.synology.com/...a_website_on_Synology_NAS

OxWax @Durandal • 11 juli 2019 18:44

goeie tip !!! $_/-\o_$

Cartman!

@bertware • 11 juli 2019 16:10

Er kan altijd een exploit gevonden worden van iets op de NAS dat aan internet hangt. Zo vertrouwde ik ooit ook op Synology hun OS en daar bleek een exploit in te zitten waardoor iemand root access kon krijgen waardoor ze op m'n NAS konden komen (1 BTC gejat ook... ooit eens gemined, wist ik veel dat dit ooit wat waard ging worden

). Dikke pech dus. De nieuwe situatie is dat ik enkel OpenVPN open heb staan naar internet toe met een user die enkel rechten heeft voor de OpenVPN app. Zodra ik op VPN zit kan ik met een andere account inloggen om m'n ding te doen. 100% veilig? Nee, dat kan niet. Veiliger dan hoe het was? Absoluut.

oef! @bertware • 11 juli 2019 16:27

Zoals jij het schetst zou ik eerder kiezen voor online storage bij een betrouwbare dienstverlener dan een NAS benaderbaar te maken vanaf het internet. Wel de lusten, niet de beheerslasten.

Jorgen @bertware • 11 juli 2019 17:21

Nee hoor. Ik heb mijn NAS voor backups, media storage, etc zodat ik die met mijn devices allemaal kan benaderen binnenshuis. Alles naar buiten staat uit.

RogerWilco2 @bertware • 12 juli 2019 11:53

Mijn NAS hangt niet (rechtstreeks) aan het internet, alleen aan mijn lokale netwerk (wat via een firewall en modem well aan het internet hangt.

Mijn NAS is vooral backup en media server met RAID voor snelheid en redundancy.
Het is niet mijn enige backup, ik heb ook off-site nog een backup.

Ik neem als ik op vakantie ben genoeg storage mee. Alleen als al mijn bagage gestolen zou worden, ben ik ook mijn fotos kwijt.
Foto's meenemen om ergens te laten zien doe ik ook op fysieke media.

Het hele internet is groot en heeft erg veel tijd. Daar kan ik niet tegenop.

Skender @Robkazoe • 11 juli 2019 16:00

Sommige ransomware infecteert eerst een PC of smartphone, en gaat dan vaan daaruit op zoek naar slecht beveiligde devices in de LAN. Het is niet omdat je NAS niet rechtstreeks aan het internet hangt, dat je veilig bent.

Accretion @Skender • 11 juli 2019 18:10

Goed punt, denk ook aan devices die op je WiFi komen en niet van jou zijn.

Heb je een sterk wifi wachtwoord en een gescheiden gastnetwerk?

Maar goed punt, zelfs in je lokale netwerk is het de moeite waard om (sterke) authenticatie te gebruiken.

Steenvoorde @Robkazoe • 11 juli 2019 15:47

Hoe hang je een NAS direct aan het internet? De meesten zullen de NAS in het LAN hangen en met port forwarding de services via internet benaderbaar maken. En ik kan me niet voorstellen dat mensen dat doen, hoogstens een web-, mail- of VPN server, maar zeker geen SMB of NFS.

Accretion @Steenvoorde • 11 juli 2019 18:08

HTTPS met auth, maar dit alleen voor niet persoonlijke bestanden.

Lokaal smb/NFS (niet bereikbaar vanuit gast netwerk).

HoeZoWie @Robkazoe • 12 juli 2019 09:57

Of gewoon niet je NAS direct aan het internet hangen.

Serieus,

wie zet er nu zijn NAS direct aan het internet? Dan heb je wel een gaatje in je hoofd. Die er dan tenminste een Firewall / Router er tussen. Wat een dombo opmerking.

Sluuut @darknessblade • 11 juli 2019 15:22

Behalve als de malware er al op staat en het al ge-encrypt is. Кроме того, русский язык не легко читается для всех.

ard1998 @darknessblade • 11 juli 2019 15:25

nyet

backup maken en update uitvoeren. met een paar klikken in de grafische omgeving de beveiliging van het systeem verbeteren. veel simpeler kan het niet.

SuperDre @ard1998 • 11 juli 2019 22:14

totdat je er achter komt dat de malware al actief is en dus je backup ook besmet is.

ard1998 @SuperDre • 12 juli 2019 08:23

Daarmee bediel ik natuurlijk regemakig controleren op updaten om dat soort zaken mogelijk te voorkomen

Slijpschuiver @darknessblade • 11 juli 2019 15:31

Geweldig advies

Nees 11 juli 2019 16:00

Brute Force gaat weinig doen als je IP blocked na 5 pogingen binnen X tijd. Daarna is het IP permanent geblocked.

OxWax @Nees • 11 juli 2019 16:32

Hoe doe je dat?

ASS-Ware @OxWax • 11 juli 2019 17:18

Hoe doe je dat?

Control Panel
Security
Account
Enable Auto Block

OxWax @ASS-Ware • 11 juli 2019 17:36

$_/-\o_$ (had het al gevonden

)

Accretion @Nees • 11 juli 2019 18:11

Behalve als een botnet/spoof met een ongeveer oneindig IP's het probeert?

tweaknico @Accretion • 11 juli 2019 19:03

Spoof werkt niet want TCP vereist.
En een oneindig aantal adressen...??? Een grote reeks ja maar het is een beperkte resource.

Xorifelse @tweaknico • 11 juli 2019 21:06

Hier kan je goed de mist in gaan. Sommige computers worden alleen geinfecteerd en sluiten zich aan bij botnet maar infecteerd de computer verder niet zodat de gebruiker het niet merkt.

Ja, het blijft een beperkte range maar die IP adressen kan je niet zomaar in een blacklist gooien.

Sommige netwerken zijn 30M computers groot. Die worden wel vaker voor DDOS gebruikt, maar een klein netwerkje van 10k computers kan al aardig vissen naar wachtwoorden op deze manier.

tweaknico @Xorifelse • 11 juli 2019 21:08

Een lijst van losse addressen eens, maar je kan ook hele ranges afsluiten als de inbraak pogingen serieuze vormen aannemen dan is dat zeker mogelijk.

Douweegbertje @Nees • 11 juli 2019 21:33

Weinig?

Ik zit zelf aan "de goede kant" en heb toegang tot 10.000 proxy's. Dat zijn toch weer 50k requests die ik kan doen. Vaak al een overkill om te checken voor simpele passwords.

SuperDre @Nees • 11 juli 2019 22:15

Maarja, die optie staat dus blijkbaar niet standaard aan. En als je dan toch al een slecht wachtwoord hebt gebruikt dan zal men die optie ook niet zo snel zelf aangezet hebben.

X-t-r-e-m-e 11 juli 2019 18:23

Bij mij hebben ze 2 dagen lang iedere minuut geprobeerd in te loggen. Elke keer een ander IP adres. Heb wel een authenticator erop staan maar toch maar van internet afgehaald. Gebruikte het soms om bestanden van mijn werk binnen te hengelen als ik elders zit.

pafdaddy 11 juli 2019 18:50

Naast het updaten van de QTS-software naar versie 4.4 ...

Dat staat niet in het Security Advisory for eCh0raix Ransomware.

Installing the QTS Update

Log on to QTS as administrator.
Go to Control Panel > System > Firmware Update.
Under Live Update, click Check for Update.
QTS downloads and installs the latest available update.

De laatste versie is 4.3.6.0993 build 20190704, 4.4 is nog beta.

sodium 12 juli 2019 10:28

Haha dat is grappig, in het artikel noemen ze de 459 Pro maar die is niet meer ondersteund en heeft als maximale FW 4.2.x -- is dit een manier om iedereen zijn NAS te laten upgraden naar een recent(er) model?

laatste versie voor een TS459 Pro is : 4.2.6 build 20190629

https://www.qnap.com/en/d...9%20pro&category=firmware

[Reactie gewijzigd door sodium op 23 juli 2024 01:05]

Dr Pro 11 juli 2019 16:35

2Factor aanzetten op je NAS? Op m'n Syno kan het... (en staat het dus aan)

Recon24 @Dr Pro • 11 juli 2019 16:55

Auto block staat bij mij aan en standaard 2FA op mijn admin account. Andere accounts hebben amper toegang tot belangrijke dingen namelijk (Synology NAS).

Eusebius @Dr Pro • 11 juli 2019 17:11

Check dan ook even of je SSH - als die aanstaat - ook 2FA heeft. Want dat is volgens mij een zwak puntje bij de Synology: wel 2FA op poort 80, niet op 22.

Dr Pro @Eusebius • 11 juli 2019 19:00

Goeie! Ga ik checken, heb hem sowieso niet ontsloten richting het internet hoor, niet op https en al helemaal niet op ssh, maar is wel goed om na te kijken ja

well0549 11 juli 2019 17:05

Gewoon achter vpn hangen.

Vpn draait op mijn router en alles van een naar de nas gaat via de tunnel

Accretion @well0549 • 11 juli 2019 18:12

Tja, als je VPN dan 'gehackt' wordt; ligt meteen je hele netwerk open

Overigens is de authenticatie op VPN vaak wel een stuk sterker

ASS-Ware 11 juli 2019 17:20

Ik heb me altijd afgevraagd of zulke ransomware ook LUN's kan aanvallen op de NAS.
Weet iemand dat?

Tr1pke 11 juli 2019 21:51

Ik heb een debian firewall (iptables etc) als ik men nas nodig heb zet ik de poort open. Download/Upload men bestand en de poort gaat weer toe. Nooit problemen gehad.

Lauwrence82 12 juli 2019 00:24

SSH brute-force attack... Daarom is Tweakers goed! Je leert bij!

Lees in de reacties van SSH 2FA, dat is een goede beveiliging!

Op dit item kan niet meer gereageerd worden.

Nieuw ontdekte ransomware richt zich op nas-systemen van QNAP

Lees meer

Reacties (63)

Sorteer op:

Weergave: