Ökade utpressningsattacker mot NAS-enheter

Attacker där filer på internetanslutna NAS-enheter krypteras för utpressningssyfte har ökat på senare tid, och användare av sådana produkter bör se till att hålla mjukvaran uppdaterad.

Att använda nätverksansluten lagring, eller NAS-produkter, är en smidig metod för att lagra innehåll på ett sätt som alltid är åtkomligt. Dessa NAS-enheter är dock datorsystem med egna operativsystem, och är därför likt vanliga datorsystem utsatta för olika typer av angrepp. En typ av angrepp som blivit vanligare på senare tid är utpressningsattacker där målsystemets innehåll krypteras.

Nu varnar IT-säkerhetsutbildaren Karl-Emil Nikka för att utpressningsattacker börjar bli allt vanligare även inom NAS-produkter, som tidigare varit relativt förskonade från detta. Attackerna utförs genom att säkerhetsbrister i mjukvaran utnyttjas för att installera trojaner, som sedan krypterar innehållet på enhetens lagring. Trojanens ägare kräver sedan lösensumma för att låsa upp innehållet.

synology_dsm_update.jpg

Bildkälla: Nikka Systems

Sårbarheterna varierar mellan olika tillverkare. Bristerna i NAS-produkter från företag som Qnap och Iomega uppges ligga i mjukvaran, och användare bör därför uppdatera till senaste versionen av systemmjukvaran omgående. NAS-enheter från Synology uppges inte dras med brister i mjukvaran, och här består problemet istället i användning av svaga lösenord som är lätta att knäcka.

Det förefaller som det inte handlar om en slumpartad ökning av den här sortens attacker, utan en organiserad sådan. Ken Lee, säkerhetschef för incidentrapportering hos Synology, har gått ut med en varning om attackerna där han beskriver att det ser ut att handla om organiserade attacker där administratörslösenord hämtas via så kallade brute force-angrepp.

We believe this is an organized attack. After an intensive investigation into this matter, we found that the attacker used botnet addresses to hide the real source IP. After collecting admin account passwords with brute-force attacks, the attack was launched on July 19 and caught users off guard. We therefore informed TWCERT/CC and CERT/CC immediately of this matter in hopes of accelerating the collaborative efforts to resolve this incident.

En ljusglimt för den som drabbats är att trojanerna ibland innehåller buggar som kan utnyttjas för att återställa innehållet. Angripare kan ibland också använda samma krypteringsnycklar för flera offer, vilka då kan användas för att häva krypteringen. Den som blivit utsatt för en utpressningsattack kan sätta sitt hopp till webbplatsen No More Ransom som rapporterar om just sådana ljusglimtar.

Som med alla säkerhetsrelaterade frågor uppmanas alla användare att uppdatera sina produkters systemmjukvara och dess mjukvarupaket till senaste versionen för att minimera systemets sårbarhet för angripare.

Läs relaterade artiklar:

I butiken: SweClockers Logo Tee

Den legendariska SweClockers-gubben! Denna högtidsklädsel passar bäst att använda på särskilt minnesvärda dagar, såsom grafikkortslanseringar, och bör likt andra värdesaker förvaras i kassaskåp. Begränsad upplaga!

Köp här!