Uwaga na ataki Ransomware

#1
Synology® Urges All Users to Take Immediate Action to Protect Data from Ransomware Attack

Synology® Urges All Users to Take Immediate Action to Protect Data from Ransomware Attack
TAIPEI, Taiwan—July 23, 2019—Synology® recently found that several users were under a ransomware attack, where admins' credentials were stolen by brute-force login attacks, and their data was encrypted as a result. We investigated and found that the causes of these attacks were due to dictionary attacks instead of specific system vulnerabilities. This large-scale attack was targeted at various NAS models from different vendors; therefore we strongly recommend users check network and account settings to protect data from ransomware.

"We believe this is an organized attack. After an intensive investigation into this matter, we found that the attacker used botnet addresses to hide the real source IP," said Ken Lee, Manager of Security Incident Response Team at Synology Inc. "After collecting admin account passwords with brute-force attacks, the attack was launched on July 19 and caught users off guard. We therefore informed TWCERT/CC and CERT/CC immediately of this matter in hopes of accelerating the collaborative efforts to resolve this incident."

Since this attack is not related to system security vulnerabilities, it is recommended that Synology users utilize built-in network and account management settings to enhance system security level, preventing malicious attacks from the Internet.

"We urge all Synology users to take immediate action to protect their NAS from the ransomware attack," said Hewitt Lee, Director of Product Management at Synology Inc. "Users' data security is always our priority. For those who are not using Synology NAS, we still recommend you take corresponding actions to protect your precious data."

Please make sure you go through the checklist below:

Use a complex and strong password, and Apply password strength rules to all users.
Create a new account in administrator group and disable the system default "admin" account.
Enable Auto Block in Control Panel to block IP addresses with too many failed login attempts.
Run Security Advisor to make sure there is no weak password in the system.
To ensure the security of your Synology NAS, we strongly recommend you enable Firewall in Control Panel and only allow public ports for services when necessary, and enable 2-step verification to prevent unauthorized login attempts. You may also want to enable Snapshot to keep your NAS immune to encryption-based ransomware. To learn more about ransomware attacks, please visit https://www.synology.com/solution/ransomware
source: https://www.synology.com/en-global/comp ... Ransomware

Re: Uwaga na ataki Ransomware

#2
Czyli w skrócie: jeśli ktoś używa quickconnect to:

- wyłączone domyślne konto admina,
- hasło powinno być skomplikowane,
- blokada po kilku nieudanych próbach logowania (lub podwójna autoryzacja co polecam),
- np. dostęp tylko z obszaru Polski lub konkretnego IP,
- jeśli model pozwala, warto mieć migawki,
- zmieniony domyślny port do DSM.

Raczej ww. elementy powinny nas uchronić przed "tym świństwem". ;)
Ostatnio zmieniony sob wrz 21, 2019 9:01 pm przez adjustin, łącznie zmieniany 3 razy.
DS116 (1 x WD Red 2 TB, Ext 4, 1 GB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
DS1517+ (5 x WD Red 4 TB, Btrfs, Raid 5, 8GB RAM)

Re: Uwaga na ataki Ransomware

#3
Jak i wieloma innymi świństwami.

Wysłane z mojego NEM-L21 przy użyciu Tapatalka

Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676

Re: Uwaga na ataki Ransomware

#5
adjustin pisze:
śr lip 24, 2019 9:39 am
… np. dostęp tylko z obszaru Polski lub konkretnego IP...
Witajcie

Jestem tu nowy i mam pytanie w temacie przedmiotowych ataków Ransomware.
Również doświadczam cały czas takich prób ataków na konto Admina.
Zastosowałem większość proponowanych tutaj zabezpieczeń, ale nie wiem np. jak zablokować wszystkie adresy IP z poza obszaru Polski ?
Ewentualnie jak umożliwić również dostęp z jakiegoś konkretnego wybranego jednego kraju poza Polską ?

Uwaga na ataki Ransomware

#6
Reguły zapory sieciowej rozwiązują temat (przynajmniej dla zdefiniowanych geolokalizacji).
Pamiętaj tylko, że reguły blokujące geolokalizację powinny być pierwsze - czyli na samej górze interfejsu zapory sieciowej.
Panel sterowania -> Bezpieczeństwo -> zakładka Zapora sieciowa -> edytuj reguły
DS916+ / 6.2.2-24922 /
DS112+ / 6.2.2-24922 /
RT1900ac / SRM 1.2.2-7915 /

Re: Uwaga na ataki Ransomware

#7
Mark54 pisze:
czw sie 08, 2019 10:49 pm
adjustin pisze:
śr lip 24, 2019 9:39 am
… np. dostęp tylko z obszaru Polski lub konkretnego IP...
Witajcie

Jestem tu nowy i mam pytanie w temacie przedmiotowych ataków Ransomware.
Również doświadczam cały czas takich prób ataków na konto Admina.
Zastosowałem większość proponowanych tutaj zabezpieczeń, ale nie wiem np. jak zablokować wszystkie adresy IP z poza obszaru Polski ?
Ewentualnie jak umożliwić również dostęp z jakiegoś konkretnego wybranego jednego kraju poza Polską ?

u mnie problem rozwiązał się sam, jak zmieniłem zewnętrzne porty na zaporze firewalla z domyślnych na takie nie przypisane do żadnej znanej mi usługi i ataki ustały jak by czarodziej postawił tarcze nad miastem :D
Dodatkowo niezablokowaniem kraje takie jak np Iran na zaporze czy całkiem wyłączyłem konto admin w dsm.
Niestety po zmianie portów prędkość po quickconnect spadła mi o połowę przy połączeniu z wan na telefonie.ale to chyba normalne gdy porty są inne od domyślnych
:)
jestem tym kim jestem..

DS214+ - DSM 6.2 2-24922-3 - 2x WD RED 2 TB
RT2600ac - SRM 1.2.3-8017 update 3
Obrazek

Re: Uwaga na ataki Ransomware

#8
Mark54 pisze:
czw sie 08, 2019 10:49 pm
... Zastosowałem większość proponowanych tutaj zabezpieczeń, ale nie wiem np. jak zablokować wszystkie adresy IP z poza obszaru Polski ?...
W taki sposób można ustawić dostęp tylko z obszaru Polski:
- Panel sterowania\Bezpieczeństwo\Zapora sieciowa\
- Następnie zaznaczyć: „Włącz zaporę sieciową”.
- Potem utworzyć profil poprzez „Edytuj reguły” dla wybranego profilu. Ja osobiście na początku stworzyłem nowy i go zedytowałem. Nazwałem go „Tylko Polska”.
- Po wejściu do edycji kliknij „Utwórz” i zaznacz:
- Porty: wszystko (chyba, że ktoś chce zablokować wybrane wg uznania),
- Źródłowe IP: Tutaj zaznacz „Lokalizacja” i kliknij wybierz. Następnie wpisujemy „Polska” i zatwierdzamy,
- Po wszystkim wszystko akceptujemy i gotowe 😊

Jeszcze jedna sprawa:
look12 pisze:
czw sie 08, 2019 11:28 pm
Pamiętaj tylko, że reguły blokujące geolokalizację powinny być pierwsze - czyli na samej górze interfejsu zapory sieciowej.
Poniżej screen:
Nie masz wymaganych uprawnień, aby zobaczyć pliki załączone do tego posta.
Ostatnio zmieniony sob wrz 21, 2019 8:59 pm przez adjustin, łącznie zmieniany 4 razy.
DS116 (1 x WD Red 2 TB, Ext 4, 1 GB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
DS1517+ (5 x WD Red 4 TB, Btrfs, Raid 5, 8GB RAM)

Re: Uwaga na ataki Ransomware

#10
Zaznaczamy "Zezwól". W tym momencie zezwalamy na dostęp z kraju "Polska". Gdybyś kliknął "Zabroń" to do serwera można się zalogować zewsząd poza wybranym (zaznaczonym) krajem.
DS116 (1 x WD Red 2 TB, Ext 4, 1 GB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
DS1517+ (5 x WD Red 4 TB, Btrfs, Raid 5, 8GB RAM)

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość