Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nieuw ontdekte ransomware richt zich op nas-systemen van QNAP

Er is een nieuwe ransomware ontdekt die zich voornamelijk richt op nas-systemen van QNAP. De gijzelsoftware gebruikt brute force-aanvallen om zwakke wachtwoorden van netwerkschijven te kraken.

Het gaat specifiek om de eCh0raix-ransomware. De ransomware werd voor het eerst ontdekt door beveiligingsonderzoekers van het Anomali Threat Research Team. QNAP zegt dat het werkt aan een manier om de malware van geïnfecteerde apparaten te verwijderen.

De ransomware voegt een .encrypt-extensie toe aan de bestanden en versleutelt die met aes 256-encryptie. Het gaat om vrijwel alle bestandssoorten die op de schijf staan. De malware gebruikt taalchecks om te zien of de nas in Rusland, Wit-Rusland of Oekraïne staat en infecteert die systemen vervolgens niet. Op de bitcoinadressen die gebruikt worden, is te zien dat er nog geen betalingen zijn verricht, maar het is niet zeker of dat de enige adressen zijn die de daders inzetten.

Op de forums van BleepingComputer is te zien dat in ieder geval de QNAP TS-251, TS-253B, TS-451, en de TS-459 PRO II getroffen kunnen worden, maar wellicht gaat het om meer modellen. QNAP raadt gebruikers aan een virusscanner te gebruiken om de ransomware tegen te houden.

Het bedrijf geeft ook tips waardoor gebruikers minder risico lopen om slachtoffer van de ransomware te worden. Naast het updaten van de QTS-software naar versie 4.4 en het instellen van een sterker wachtwoord, raadt het bedrijf ook aan ssh en telnet uit te schakelen en poort 8080 en 443 niet als de standaard te gebruiken, mits dat mogelijk is. Ook is het advies om Network Access Protection in te schakelen om systemen tegen brute force-aanvallen te beschermen.

Door Tijs Hofmans

Redacteur privacy & security

11-07-2019 • 15:12

63 Linkedin Google+

Reacties (63)

Wijzig sortering
dat is dan een gemakkelijke manier om het te stoppen, gewoon de taal omzetten naar russisch
Of gewoon niet je NAS direct aan het internet hangen.
Dit.

Over het algemeen staat al je persoonlijke data op je NAS. Dit is wel het laatste dat je zo aan het internet wil hangen.

Maar dit doet toch niemand? Heb zelf alleen een synology gehad en connecties verliepen altijd via synology. Geen portforward nodig dus veilig.

Of werkt dat met qnap anders?
Geen portforward nodig dus veilig.
Daar ga je wel extreem kort door de bocht. Via die synology kan je DNS namen brute-forcen om zo NAS toestellen te vinden. Dan komen ze op je Synology inlogpagina, waar ze alsnog via brute force kunnen proberen inloggen, of eventuele kwetsbaarheden kunnen misbruiken. Op dat vlak is er amper verschil met port forwarden.

Default users uitschakelen, Brute force blokkeren, IP ranges blokkeren, custom poort gebruiken, enkel HTTPS toelaten, sterke wachtwoorden met two factor gebruiken, enkel de services blootstellen die blootgesteld moeten worden (VPN server, HTTPS dashboard als je zonder VPN wilt werken)

Met QuickConnect kan je geen SSH/Telnet toegang krijgen vanop afstand, maar die poorten moeten helemaal niet geforward worden (en die toegankelijk maken vanaf internet is om problemen vragen).
Brute force blokkeren staat standaard aan bij Synology. Ben vaak 30 minuten door mijn eigen device gelocked omdat ik capslock aan had staan :)
Goed om te horen, geen idee wat de defaults zijn gezien ik gewoon het hele configuratiescherm doorloop om alles in te stellen hoe ik wil. Bekende apparaten kun je geloof ik uitsluiten, of bepaalde IP adressen ;)
Verder heeft Synology naast de IP-based blokkering, ook account blokkering waarbij een account na X pogingen, zelfs van verschillende IP adressen, geblokkeerd wordt voor een bepaalde periode.
Het is bij Synology en Qnap beide mogelijk: direct aan internet of via de fabrikant laten lopen.

Ik heb op dit moment een Qnap, en gisteren nog de laatste update gedraaid. Niet gekoppeld aan internet en ook niet via Qnap bereikbaar, dus ik ben vermoedelijk wel veilig. Maar voor de zekerheid zet ik vanavond ssh en telnet wel nog uit, want dat gebruik ik toch niet.

En weer even een backupje maken van alle data op een losgekoppelde HD.
Je kunt je ook afvragen waarop QNAP standaard SSH en telnet aanzetten. Het merendeel van de gebruikers weet niet wat ze daarmee moeten of gebruikt het niet denk ik
Eeh, hoezo zou het veilig zijn als het via Synology loopt (quickconnect?)

Via quickconnect kunnen ze bij je DSM pagina komen
Als ze daar brute force je wachtwoord kraken (afhankelijk van instellingen in DSM, niet afhankelijk van Synology servers) kunnen ze alles aanpassen (SSH aan, port forwarding via UPNP, daarna inloggen via SSH).

De andere hiervoor gegeven adviezen zijn nmm beter

[edit@reactie hieronder]Dat bedoel ik dus precies met de instellingen in DSM. Het is goed dat dit standaard aanstaat, maar dat betekent niet dat het gebruik van de connectie via Synology heilig is (bijvoorbeeld niet als je de standaard instellingen aan hebt gepast)

[Reactie gewijzigd door pietje63 op 11 juli 2019 16:23]

Brute force blokkeren staat standaard aan. Dus voor 10 pogingen heb je een uur nodig.
Dus als je wachtwoord 1234 is dan is het niet veilig. Maar als het uit 10+ karakters bestaat dan ben je vrij veilig.
Paswoord: 28 karakters
NAS uitsluitend alleen bereikbaar van 2 externe Ip’s al de rest nada _/-\o_ _/-\o_

[Reactie gewijzigd door nightraven79 op 11 juli 2019 19:50]

je bent de leestekens én de kleine letters vergeten ;-)
Dit.

Over het algemeen staat al je persoonlijke data op je NAS. Dit is wel het laatste dat je zo aan het internet wil hangen.

Maar dit doet toch niemand? Heb zelf alleen een synology gehad en connecties verliepen altijd via synology. Geen portforward nodig dus veilig.
Probeer dat maar eens met VPN Server die op je NAS draait, ga nie werk nie.
Wat juist proberen , bedoel je ?
Wat juist proberen , bedoel je ?
VPN gaat niet via Synology's servers, dus zul je toch een poort open moeten zetten.
Ik had hem (453 Pro) tot maart aan het internet hangen totdat er een virus op bleek te zitten. Het viel me op dat ik al een tijdje geen updates kreeg voor het OS. Op een forum kwam ik uiteindelijk de remedie tegen. Dit is heel magertjes gecommuniceerd door Qnap
Dan kan je evengoed een gewone harde schijf kopen. Een NAS wilt zeggen dat ik geen harde schijf moet meesleuren om bij familie foto's te tonen, dat ik vanop vakantie foto's al kan uploaden als backup, en dat verschillende toestellen kunnen syncen, of ze nu op het interne netwerk of een extern netwerk hangen. Als consument hang je ook alles achter een router, die slechts geconfigureerde poorten forward en vaak ook een basic firewall heeft.

Gewoon gezond verstand gebruiken en je toestel goed beveiligen en up to date houden. de SSH, Telnet en brute force aanbevelingen die hier gedaan worden zijn gewoon standaard beveiligingsmaatregelen en is het eerste wat je doet als je het toestel installeert.

[Reactie gewijzigd door bertware op 11 juli 2019 15:50]

Ik vind een VPN toch nog altijd een beter oplossing dan de NAS naar buiten toe openstellen. Dan kun je alles met je foto's video's en bestanden. Je moet alleen de VPN-client even verbinden.
't is een afweging tussen gemak en veiligheid (altijd, eigenlijk). Ik gebruik een whitelist voor toegang via een zelfgekozen poort, HTTPS, two factor, ... en VPN waarmee ik vanaf overal toegang kan krijgen. Vind het wel spijtig dat synology nog niet standaard gebruik maakt van gebruikerscertificaten voor OpenVPN, zodat je net zoals SSH met public key (evt plus wachtwoord) identifieert.
Er is, zeker in dit geval, geen goede reden om je NAS's SMB, ssh en zeker Telnet aan het internet te hangen. Als je foto's wilt laten zien kan je een webserver draaien en poort 80 naar buiten brengen.
Random poort kiezen in plaats van de gangbare houd (simpele) poortscanners en bots al weg. Geen echte beveiliging, maar helpt wel in combinatie met andere maatregelen. Ik zou geen enkel toestel in een thuisnetwerk via poort 80 vanaf internet toegankelijk maken. Verder HTTPS om een veilige verbinding te hebben.
Bedoel je dan een webserver op je NAS? (ik koop er eentje binnen 2 weken)
Ja.

(Als je wat meer avontuur wilt bouw je zelf een NAS met bv. linux en ZFS)
heb hier al een 7 tal pc slingeren : 2 servers Xenons en bijna af AMD
Ik wil voor mn NAS een 'simpele' Synology, dus vraag sloeg daar op : webserver op Syn?
Er kan altijd een exploit gevonden worden van iets op de NAS dat aan internet hangt. Zo vertrouwde ik ooit ook op Synology hun OS en daar bleek een exploit in te zitten waardoor iemand root access kon krijgen waardoor ze op m'n NAS konden komen (1 BTC gejat ook... ooit eens gemined, wist ik veel dat dit ooit wat waard ging worden :'( ). Dikke pech dus. De nieuwe situatie is dat ik enkel OpenVPN open heb staan naar internet toe met een user die enkel rechten heeft voor de OpenVPN app. Zodra ik op VPN zit kan ik met een andere account inloggen om m'n ding te doen. 100% veilig? Nee, dat kan niet. Veiliger dan hoe het was? Absoluut.
Zoals jij het schetst zou ik eerder kiezen voor online storage bij een betrouwbare dienstverlener dan een NAS benaderbaar te maken vanaf het internet. Wel de lusten, niet de beheerslasten.
Nee hoor. Ik heb mijn NAS voor backups, media storage, etc zodat ik die met mijn devices allemaal kan benaderen binnenshuis. Alles naar buiten staat uit.
Mijn NAS hangt niet (rechtstreeks) aan het internet, alleen aan mijn lokale netwerk (wat via een firewall en modem well aan het internet hangt.

Mijn NAS is vooral backup en media server met RAID voor snelheid en redundancy.
Het is niet mijn enige backup, ik heb ook off-site nog een backup.

Ik neem als ik op vakantie ben genoeg storage mee. Alleen als al mijn bagage gestolen zou worden, ben ik ook mijn fotos kwijt.
Foto's meenemen om ergens te laten zien doe ik ook op fysieke media.

Het hele internet is groot en heeft erg veel tijd. Daar kan ik niet tegenop.
Sommige ransomware infecteert eerst een PC of smartphone, en gaat dan vaan daaruit op zoek naar slecht beveiligde devices in de LAN. Het is niet omdat je NAS niet rechtstreeks aan het internet hangt, dat je veilig bent.
Goed punt, denk ook aan devices die op je WiFi komen en niet van jou zijn.

Heb je een sterk wifi wachtwoord en een gescheiden gastnetwerk?

Maar goed punt, zelfs in je lokale netwerk is het de moeite waard om (sterke) authenticatie te gebruiken.
Hoe hang je een NAS direct aan het internet? De meesten zullen de NAS in het LAN hangen en met port forwarding de services via internet benaderbaar maken. En ik kan me niet voorstellen dat mensen dat doen, hoogstens een web-, mail- of VPN server, maar zeker geen SMB of NFS.
HTTPS met auth, maar dit alleen voor niet persoonlijke bestanden.

Lokaal smb/NFS (niet bereikbaar vanuit gast netwerk).
Of gewoon niet je NAS direct aan het internet hangen.
Serieus, |:( wie zet er nu zijn NAS direct aan het internet? Dan heb je wel een gaatje in je hoofd. Die er dan tenminste een Firewall / Router er tussen. Wat een dombo opmerking. 8)7
Behalve als de malware er al op staat en het al ge-encrypt is. Кроме того, русский язык не легко читается для всех.
nyet

backup maken en update uitvoeren. met een paar klikken in de grafische omgeving de beveiliging van het systeem verbeteren. veel simpeler kan het niet.
totdat je er achter komt dat de malware al actief is en dus je backup ook besmet is.
Daarmee bediel ik natuurlijk regemakig controleren op updaten om dat soort zaken mogelijk te voorkomen
Brute Force gaat weinig doen als je IP blocked na 5 pogingen binnen X tijd. Daarna is het IP permanent geblocked.
Hoe doe je dat?
Hoe doe je dat?
Control Panel
Security
Account
Enable Auto Block
_/-\o_ (had het al gevonden ;))
Behalve als een botnet/spoof met een ongeveer oneindig IP's het probeert?
Spoof werkt niet want TCP vereist.
En een oneindig aantal adressen...??? Een grote reeks ja maar het is een beperkte resource.
Hier kan je goed de mist in gaan. Sommige computers worden alleen geinfecteerd en sluiten zich aan bij botnet maar infecteerd de computer verder niet zodat de gebruiker het niet merkt.

Ja, het blijft een beperkte range maar die IP adressen kan je niet zomaar in een blacklist gooien.

Sommige netwerken zijn 30M computers groot. Die worden wel vaker voor DDOS gebruikt, maar een klein netwerkje van 10k computers kan al aardig vissen naar wachtwoorden op deze manier.
Een lijst van losse addressen eens, maar je kan ook hele ranges afsluiten als de inbraak pogingen serieuze vormen aannemen dan is dat zeker mogelijk.
Weinig? :)
Ik zit zelf aan "de goede kant" en heb toegang tot 10.000 proxy's. Dat zijn toch weer 50k requests die ik kan doen. Vaak al een overkill om te checken voor simpele passwords.
Maarja, die optie staat dus blijkbaar niet standaard aan. En als je dan toch al een slecht wachtwoord hebt gebruikt dan zal men die optie ook niet zo snel zelf aangezet hebben.
Bij mij hebben ze 2 dagen lang iedere minuut geprobeerd in te loggen. Elke keer een ander IP adres. Heb wel een authenticator erop staan maar toch maar van internet afgehaald. Gebruikte het soms om bestanden van mijn werk binnen te hengelen als ik elders zit.
Naast het updaten van de QTS-software naar versie 4.4 ...

Dat staat niet in het Security Advisory for eCh0raix Ransomware.

Installing the QTS Update

Log on to QTS as administrator.
Go to Control Panel > System > Firmware Update.
Under Live Update, click Check for Update.
QTS downloads and installs the latest available update.


De laatste versie is 4.3.6.0993 build 20190704, 4.4 is nog beta.
Haha dat is grappig, in het artikel noemen ze de 459 Pro maar die is niet meer ondersteund en heeft als maximale FW 4.2.x -- is dit een manier om iedereen zijn NAS te laten upgraden naar een recent(er) model?

laatste versie voor een TS459 Pro is : 4.2.6 build 20190629

https://www.qnap.com/en/d...9%20pro&category=firmware

[Reactie gewijzigd door sodium op 12 juli 2019 10:30]

2Factor aanzetten op je NAS? Op m'n Syno kan het... (en staat het dus aan)
Auto block staat bij mij aan en standaard 2FA op mijn admin account. Andere accounts hebben amper toegang tot belangrijke dingen namelijk (Synology NAS).
Check dan ook even of je SSH - als die aanstaat - ook 2FA heeft. Want dat is volgens mij een zwak puntje bij de Synology: wel 2FA op poort 80, niet op 22.
Goeie! Ga ik checken, heb hem sowieso niet ontsloten richting het internet hoor, niet op https en al helemaal niet op ssh, maar is wel goed om na te kijken ja O+
Gewoon achter vpn hangen.

Vpn draait op mijn router en alles van een naar de nas gaat via de tunnel
Tja, als je VPN dan 'gehackt' wordt; ligt meteen je hele netwerk open ;)

Overigens is de authenticatie op VPN vaak wel een stuk sterker
Ik heb me altijd afgevraagd of zulke ransomware ook LUN's kan aanvallen op de NAS.
Weet iemand dat?
Ik heb een debian firewall (iptables etc) als ik men nas nodig heb zet ik de poort open. Download/Upload men bestand en de poort gaat weer toe. Nooit problemen gehad.
SSH brute-force attack... Daarom is Tweakers goed! Je leert bij! :) Lees in de reacties van SSH 2FA, dat is een goede beveiliging!


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Games

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True