buongiorno a tutti
spero di trovare una soluzione ad un problema che è capitato ad un mio cliente
premessa :
rete lan segmentata e protetta da firewall fortinet con tutti i servizi di protezione attiva, compresi sandbox e bootnet bloccati (una lista di circa 12000 siti sempre aggiornata)
avirus sempre aggiornato eset con sandox
batteria di 4 nas synology ds400 e ds 1218+ e ds 1318+
la rete è stata bucata da un ransomware (BOMBER) , quasi tutti i server windows criptati, 6 client windows 10 su 120 criptati
ma la cosa più brutta è stata vedere tutti i nas synology con la spia di stato lampeggiante arancione !!!
DSM completamente distrutto
abbiamo tolto i dischi dai nas e montati su un computer con controller sata bello grande e tramite ubunto abbiamo recuperato alcuni dati
mi chiedo e vi chiedo, come possono essere stati distrutti così i nas ?
come potrei difenderli ?
aggiungo che i nas avevano l'ultima versione del DSM e non avevano le porte ssh o telnet aperte
sono veramente affranto, grazie fin d'ora per l'aiuto
Sicurezza da attacchi ransomware
Re: Sicurezza da attacchi ransomware
Ciao. Mi dispiace per la tua disavventura.
Ci servirebbero più informazioni.
I nas facevano parte di un dominio?
Che servizi erano aperti dall'esterno?
Si è capito da dove è partito l'attacco?
Suo nas che servizi ci giravano? Avevano password diverse dal l'admin di dominio?
Admin e administrator erano disattivati sui nas e sul dominio nel caso ci fosse?
Cosa intendi per rete segmentata?
Ci servirebbero più informazioni.
I nas facevano parte di un dominio?
Che servizi erano aperti dall'esterno?
Si è capito da dove è partito l'attacco?
Suo nas che servizi ci giravano? Avevano password diverse dal l'admin di dominio?
Admin e administrator erano disattivati sui nas e sul dominio nel caso ci fosse?
Cosa intendi per rete segmentata?
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
- UPS: apc
- GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
- SWC: hp gigabit 8 porte with poe
- NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
- CLI: win 10, win11 e ubuntu
[altro] - 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Re: Sicurezza da attacchi ransomware
mamma mia, non dormo più...
si, ahimè erano in dominio
dall'esterno nulla, ne ssh ne terminal ne nulla, sono stati bucati dall'interno, probabilmente da un server di dominio (con password complessa ma ovviamente uguale a quella di admin dei nas)
credo sia partito da una vulnerabilità di exchange
rete segmentata perchè ci sono 3 domini con tre reti diverse ma interconnesse tramite interfacce nel firewall fortinet
vi chiedo, impostando la copia della cartella di backup in locale e creando una rotazione di 3 versioni, in 3 giorni, se vengo colpito le copie precedenti rimangono ? ovviamente se non mi bucano i nas con la login admin
si, ahimè erano in dominio
dall'esterno nulla, ne ssh ne terminal ne nulla, sono stati bucati dall'interno, probabilmente da un server di dominio (con password complessa ma ovviamente uguale a quella di admin dei nas)
credo sia partito da una vulnerabilità di exchange
rete segmentata perchè ci sono 3 domini con tre reti diverse ma interconnesse tramite interfacce nel firewall fortinet
vi chiedo, impostando la copia della cartella di backup in locale e creando una rotazione di 3 versioni, in 3 giorni, se vengo colpito le copie precedenti rimangono ? ovviamente se non mi bucano i nas con la login admin
Re: Sicurezza da attacchi ransomware
Si. Puoi fare un Snapshot del nas mantenendole.
Se i nas fanno solo da backup due dritte.
Usa active backup for business per fare i backup dei server.
Utente admin disattivato
Utente amministrativo con nome diverso (a fantasia ituser)
Due fattori attivi
Non metterlo in dominio. Non serve.
Smb ftp nfs ssh disattivato.
Firewall nas:
Regola nas che accetta l'accesso dsm solo da un pc di gestione (il tuo portatile?)
Regola nas che accetta active backup for business solo da ip dei server.
Spegni i nas e farlo accendere solo nel periodo di backup.
Ma che porte pubbliche avevi aperto? exchange di sicuro, era aggiornato? Qualche anno fa c'era un super exploit per exchange. Spero non ci siano rdp aperti
Se i nas fanno solo da backup due dritte.
Usa active backup for business per fare i backup dei server.
Utente admin disattivato
Utente amministrativo con nome diverso (a fantasia ituser)
Due fattori attivi
Non metterlo in dominio. Non serve.
Smb ftp nfs ssh disattivato.
Firewall nas:
Regola nas che accetta l'accesso dsm solo da un pc di gestione (il tuo portatile?)
Regola nas che accetta active backup for business solo da ip dei server.
Spegni i nas e farlo accendere solo nel periodo di backup.
Ma che porte pubbliche avevi aperto? exchange di sicuro, era aggiornato? Qualche anno fa c'era un super exploit per exchange. Spero non ci siano rdp aperti
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
- UPS: apc
- GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
- SWC: hp gigabit 8 porte with poe
- NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
- CLI: win 10, win11 e ubuntu
[altro] - 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3