Auteur Topic: Synology geeft waarschuwing voor ransomware aanval.  (gelezen 7005 keer)

Online Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 1230
  • Berichten: 5.158
Synology geeft waarschuwing voor ransomware aanval.
« Gepost op: 23 juli 2019, 21:30:12 »
Zie: https://www.synology.com/en-us/company/news/article/2019JulyRansomware/Synology
Geen nieuwe kwetsbaarheid in de NAS, maar hackers zijn actief op zoek naar mensen die hun NAS simpelweg niet goed beveiligd hebben.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 978
  • -Ontvangen: 5342
  • Berichten: 31.951
  • Synology is awesome.
    • Synology Support
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #1 Gepost op: 23 juli 2019, 21:45:59 »
Voorlopig Sticky en Forumbreed gemaakt t.b.v. de nodige aandacht. ;D
PM mij s.v.p. niet voor Support! Gebruik hiervoor het Forum.

Veel mensen weten veel, maar niemand weet alles.


CS406     2 x HDS721075KLA330 DSM 2.0-0731       [ARCHIEF OPSLAG]
          ST3750640AS HD753LJ
DS107+    HDS722020ALA330     DSM 3.1-1639       [ARCHIEF OPSLAG]
DS111     WD40EZRZ            DSM 6.1.7-15284-3  [ARCHIEF OPSLAG]
DS411slim Wisselende HD's     DSM 6.2.1-23824-1  [SPEELTJE]
DS411+II  4 x HDS724040ALE640 DSM 6.1.7-15284-3  [PROD]
DS413j    4 x WD20EARX        DSM 6.1.7-15284-3  [BACKUP]
DS716+II  2 x DT01ACA050      DSM 6.2.2-24922-3  [TEST]
RT2600ac                      SRM 1.2.3-8017     [PROD]
MR2200ac                      SRM 1.2.3-8017     [PROD]

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 113
  • -Ontvangen: 1677
  • Berichten: 11.168
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #2 Gepost op: 23 juli 2019, 22:15:40 »
Als ik het zo lees gaat het om een massale bruteforce attack op het admin account die op 19 juli begonnen is. Op zich is er niets aan de hand omdat het geen zwakheden betreft.

- Als je geen admin account gebruikt, valt er ook niets te bruteforcen omdat ze alleen die naam proberen.
- Als je een factor twee inlog gebruikt komen ze ook niet binnen.


- Het aantal inlogpogingen beperken lukt niet omdat de aanval via een botnet loopt die steeds vanaf een ander IP begint.
- Als je poort 22 aan het internet hebt hangen zal dat ook een probleem zijn. Om een mij onbekende reden gebruikt synology geen factor 2 bij een ssh inlog. (Bij de beta 6.0 zat dat er wel in, maar sinds de 6.0 release heb ik het nooit meer terug gezien)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Online Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 1230
  • Berichten: 5.158
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #3 Gepost op: 23 juli 2019, 23:36:14 »
Het “slimme” van de aanvallers is ook dat ze eerst een hele lijst van zwakke NASsen verzameld hebben alvorens te beginnen met de aanval.

Offline sciurius

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 9
  • Berichten: 197
  • Arms are made for hugging
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #4 Gepost op: 24 juli 2019, 08:28:25 »
Als je poort 22 aan het internet hebt hangen zal dat ook een probleem zijn. Om een mij onbekende reden gebruikt synology geen factor 2 bij een ssh inlog.

Ik stel ssh altijd in op "PasswordAuthentication no" en "PubkeyAuthentication yes". Geen hond die erin komt zonder geldige private key.

(Daarnaast hangen mijn NASsen niet aan het externe internet, da's nog veiliger.)
  • Mijn Synology: DS418
  • HDD's: WD60EFRX-68L0BN1
DS418 / DSM 6.2.2-24922-3 / 2 x WD60EFRX-68L0BN1 (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.2-24922-3 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 113
  • -Ontvangen: 1677
  • Berichten: 11.168
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #5 Gepost op: 24 juli 2019, 09:30:14 »
PubkeyAuthentication is niet iets was dsm zelf ondersteunt. Mijn opmerking was meer dat ik niet begrijp dat ze geen factor 2 gebruiken omdat het wel ooit in een beta zat en ook goed werkte.

Maar in het bericht van Synology staat niet waar ze binnen komen. Dat kan ook via dsm zijn, waarna ze via de taakplanner hun code laten uitvoeren. Acht ik waarschijnlijker omdat die poort vaker toegankelijk is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline Jovink

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 37
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #6 Gepost op: 24 juli 2019, 14:49:11 »
Jammer dat er geen eenvoudige instelling is om de admin alleen via lokaal netwerk toegang te geven.
  • Mijn Synology: DS918+
  • HDD's: 2x ST2000VN004
  • Extra's: 4 Gig

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 978
  • -Ontvangen: 5342
  • Berichten: 31.951
  • Synology is awesome.
    • Synology Support
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #7 Gepost op: 24 juli 2019, 20:52:38 »
Deze mail ontvangen:

45341-0

Synology has recently received several reports of encryption-based ransomware attacks. After investigation, these incidents were part of a large-scale attack targeting NAS devices from various vendors leveraging brute-force attempts at logins instead of system vulnerabilities. Therefore, Synology strongly recommends all users check if the measures below are in place to secure your accounts.

Please make sure you go through the checklist below:
   •   Create a new account in administrator group and disable the system default “admin” account.
   •   Use a complex and strong password, and apply password strength rules to all users.
   •   Enable 2-step verification to add an extra security layer to your account.
   •   Enable Auto Block in Control Panel and run Security Advisor to make sure there is no weak password in the system.
   •   Enable Firewall in Control Panel, and only allow public ports for services that are necessary.

In addition to the network and account management settings described above, we also recommend you keep your NAS up to date as well as protect your data with the built-in Snapshot Replication or Hyper Backup in case a recovery is necessary. To learn more about how to safeguard your NAS against encryption-based ransomware, please visit https://www.synology.com/solution/ransomware.

More resources available:
   •   How to add extra security to your NAS?
   •   How can I protect my Synology NAS against WannaCry?
   •   How to back up your data to a remote Synology NAS or file server with Hyper Backup?
PM mij s.v.p. niet voor Support! Gebruik hiervoor het Forum.

Veel mensen weten veel, maar niemand weet alles.


CS406     2 x HDS721075KLA330 DSM 2.0-0731       [ARCHIEF OPSLAG]
          ST3750640AS HD753LJ
DS107+    HDS722020ALA330     DSM 3.1-1639       [ARCHIEF OPSLAG]
DS111     WD40EZRZ            DSM 6.1.7-15284-3  [ARCHIEF OPSLAG]
DS411slim Wisselende HD's     DSM 6.2.1-23824-1  [SPEELTJE]
DS411+II  4 x HDS724040ALE640 DSM 6.1.7-15284-3  [PROD]
DS413j    4 x WD20EARX        DSM 6.1.7-15284-3  [BACKUP]
DS716+II  2 x DT01ACA050      DSM 6.2.2-24922-3  [TEST]
RT2600ac                      SRM 1.2.3-8017     [PROD]
MR2200ac                      SRM 1.2.3-8017     [PROD]

Offline dukard

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 4
  • Berichten: 92
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #8 Gepost op: 24 juli 2019, 23:58:10 »
Omdat er 2 Nas servers in mijn netwerk staan heb ik na het lezen van dit draadje een zg. poortscan uitgevoerd en die laten zien dat alle poorten dichtstaan. Geen enkele poort reageert op een "attack". Het netwerk zit achter een Draytek Vigor 2130N

Is het voor mij van belang om bovenstaande acties te ondernemen om mijn data veilig te stellen voor deze aanvallen ?

Online Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 1230
  • Berichten: 5.158
Synology geeft waarschuwing voor ransomware aanval.
« Reactie #9 Gepost op: 25 juli 2019, 07:05:19 »
Het gaat er vooral om of je je NAS hebt opengezet voor toegang van “buitenaf”. Als je dat hebt gedaan dan is het opschroeven van de beveiliging wel noodzakelijk.

Persoonlijk doe ik de simpele dingen, zoals sterkere wachtwoorden, firewall, auto block en het uitschakelen van het admin account standaard op elke NAS. Het is een kleine moeite.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 277
  • -Ontvangen: 770
  • Berichten: 4.558
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #10 Gepost op: 25 juli 2019, 09:58:00 »
Net toevallig een aantal dagen terug een kennis van mij die mij belde, wiens NAS was gehackt.
De data was wel te benaderen, maar versleuteld, en er waren meldingen om een bedrag te betalen,
zodat je een key zou krijgen om data weer te ontsleutelen,  (wat natuurlijk niet gebeurt).

Ondanks de hiervoor aangehaalde beveiligingsmaatregelen toch gehackt.
We hebben het een en ander verder doorgenomen

In diens geval zou de hack mogelijk ook hebben kunnen plaatsvinden via een virus op diens PC?
Een dag ervoor had hij daar namelijk meldingen van gekregen "op de PC zelf".

Alleen data was versleuteld.  DSM (wat op een andere partitie staat van de NAS HD's), daar was niets aan te merken.
Gewoon benaderbaar.  Ook in de logfiles kon niets vreemds worden opgemerkt van "buitenaf".
Wel "anonymous" connectie vanuit het eigen LAN netwerk.

Mijn gedachte was dat er vanuit een PC wel een "open verbinding" is vanuit de verkenner / Netwerk,
met de shares op de NAS.   (Dat is eerder ooit voor een eerste keer daar de login van opgeslagen).
Er zou naar ik denk dan een mogelijkheid kunnen zijn dat het virus / hack vanuit de PC,
dan vrij spel heeft om ook de bestanden op de NAS te benaderen en dan te versleutelen.
Die gedachte van deze omweg werd ingegeven omdat bij controle van het soort meldingen via zijn smartphone.
(Vaste apparatuur had hij losgekoppeld van internet), het daarbij ging om een via een Windows verspreide virus / hack.

In hoeverre ook zijn PC is aangetast, hebben we toen niet verder meer over gesproken.
Hem wel het advies gegeven dit te melden bij Synology.

Wel gesproken over de kwetsbaarheid van een NAS "vanuit het eigen netwerk"  via bijv. "Media server".
De mappen   photo - music - video   zijn daarbij vanuit het eigen LAN netwerk zonder wachtwoord te benaderen.
(Die kennis gebruikt zijn NAS expliciet voor het afspelen van media).
Hoewel bij een geïnstalleerde "Media server" data onder "normale omstandigheden" alleen is te lezen, niet te schrijven.

Een hack hoeft dus niet perse "rechtstreeks" via de NAS te verlopen,
maar kan evengoed via slechte beveiliging van de rest van apparatuur in je netwerk, van daaruit worden ingezet.
(Een van de redenen dat ik bij een organisatie waar ik netwerkbeheer doe,
geen "open" connecties via het normale netwerk protocol toesta).
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2  -  DrayTek 2960.....

Offline sciurius

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 9
  • Berichten: 197
  • Arms are made for hugging
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #11 Gepost op: 25 juli 2019, 10:54:47 »
De data was wel te benaderen, maar versleuteld, en er waren meldingen om een bedrag te betalen,
zodat je een key zou krijgen om data weer te ontsleutelen,  (wat natuurlijk niet gebeurt).

Ik denk (maar dat moet na te gaan zijn) dat dat wél gebeurt. Immers, als bekend wordt dat je toch geen key krijgt na betaling dan stort het verdienmodel van de ransomware in.

Citaat
Wel gesproken over de kwetsbaarheid van een NAS "vanuit het eigen netwerk"  via bijv. "Media server".
De mappen   photo - music - video   zijn daarbij vanuit het eigen LAN netwerk zonder wachtwoord te benaderen. Dus een besmette PC heeft zowat vrij spel op alle externe disks en netwerk shares.

Als wachtwoordbeveiligde shares zijn gekoppeld aan de PC dan zijn ze daarna ook verder zonder wachtwoord te benaderen.
  • Mijn Synology: DS418
  • HDD's: WD60EFRX-68L0BN1
DS418 / DSM 6.2.2-24922-3 / 2 x WD60EFRX-68L0BN1 (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.2-24922-3 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 277
  • -Ontvangen: 770
  • Berichten: 4.558
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #12 Gepost op: 25 juli 2019, 11:45:48 »
Ik denk (maar dat moet na te gaan zijn) dat dat wél gebeurt.
Immers, als bekend wordt dat je toch geen key krijgt na betaling dan stort het verdienmodel van de ransomware in.

Er zijn altijd lieden die wel betalen. "Op de grote hoop" is de buit al binnen voordat wijd en breed bekend is dat ontsleuteling toch niet gebeurt.
(of misschien een handjevol).  Dat is in het verleden maar al te vaak voorgekomen.  Het te betalen bedrag was een kleine $ 1000,-
En de meeste mensen hangen niet aan de grote klok dat men gehackt is (zeker bedrijven niet).
Er komt op die wijze relatief weinig informatie naar buiten.  Dus het heeft toch wel zijn eigen "verdienmodel".


Als wachtwoordbeveiligde shares zijn gekoppeld aan de PC dan zijn ze daarna ook verder zonder wachtwoord te benaderen.

Dat had ik daarvoor al vernoemd. Vandaar de kwetsbaarheid ervan via een virus of malware op een PC.
(Je haalt eigenlijk een verkeerd stuk tekst van mijn eerdere reactie aan).
De mappen gerelateerd aan Media server staan daar nog los van, die hebben niet eens een wachtwoord nodig.
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2  -  DrayTek 2960.....

Offline OutintheBlue

  • Bedankjes
  • -Gegeven: 33
  • -Ontvangen: 4
  • Berichten: 114
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #13 Gepost op: 25 juli 2019, 15:10:05 »
Goedemiddag,
Helaas had ik de mail gemist en ben ik enigsins slachtoffer geworden van deze rasomware aanval. Gelukkig had ik accountbeveiliging aan staan en ook 2 staps verificatie, waardoor ik gewaarschuwd werd via mailberichten.
Wat ik niet had gedaan is mijn admin- account de-activeren, vandaar dat ik op hun lijst stond, zeg maar. Hoe dat werkt weet ik dan ook niet, maar goed.
Hoe dan ook. Ik heb alsnog mijn admin account gedeactiveerd en een ander account admin rechten gegeven, maar ik blijf waarscuwingen krijgen dat mijn admin account beveilgid is, ieder half uur.
Nu kan ik dat uistellen tot max. 999 minuten voordat dit opgeheven wordt, maar dan nog. Ik heb het account gedeactiveerd. Blijkbaar nog niet helemaal?

Zijn er andere acties te checken die niet in het lijstje van de mail van Synology staan?

Thanx in advance!
  • Mijn Synology: DS213+
  • HDD's: 2x ST3000DM001

Online Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 1230
  • Berichten: 5.158
Synology geeft waarschuwing voor ransomware aanval.
« Reactie #14 Gepost op: 25 juli 2019, 15:11:39 »
Welke melding krijg je nu precies? Dat is onduidelijk.


 

Synology NAS naam aangepast, niet gewijzigd als "website naam".

Gestart door GenisysNLBoard Synology DSM 6.0

Reacties: 5
Gelezen: 4376
Laatste bericht 10 november 2018, 21:35:18
door Underlyingglitch
Volume crashed ; Disk 2 heeft geen Synology partitie ; Disk 1 crashed

Gestart door atvdlaanBoard NAS hardware vragen

Reacties: 4
Gelezen: 584
Laatste bericht 22 juni 2019, 23:37:07
door bussie_it_NAS
Synology maakt contact met een vreemd IP-adres en maakt daarna geen contact meer

Gestart door patrick25Board Synology DSM 5.2

Reacties: 6
Gelezen: 10641
Laatste bericht 17 mei 2015, 09:37:01
door Ben(V)
Synology Hybrid Raid vs Raid 1

Gestart door Leader98Board NAS hardware vragen

Reacties: 2
Gelezen: 9953
Laatste bericht 08 november 2012, 22:55:55
door Biite
Synology SHR Raid 1 naar Raid 5?

Gestart door SPiETBoard NAS hardware vragen

Reacties: 2
Gelezen: 5252
Laatste bericht 19 december 2012, 08:51:37
door SPiET
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology. Lees onze privacyverklaring.