Ransomware su 214play

[Aenea]

Ciao a tutti.

Come anticipato nella presentazione, ieri accedendo al mio 214play ho trovato il volume con solo 3 file !!!Read Me!!!.txt e lo spazio occupato ridotto a circa 500 Gb contro i circa 2.5 Tb abituali.
Nel file sostanzialmente si chiede di pagare un riscatto per la restituzione dei dati, cosa che non ho intenzione di fare. Da una breve ricerca in rete ho scoperto che si tratta di un ransomware chiamato DiskStation Security e che non c'è nessun modo per recuperare i dati, per cui li dò per persi.
Ho spento il NAS, per ora, e cambiato una marea di password per sicurezza, anche se dubito che vadano a spulciare file per file per trovarle.

Non ho problemi a recuperare i dati persi perchè comunque ho altri backup sia su un altro vecchio nas che su diversi HD completamente staccati dalla rete; è solo una scocciatura e un grande spreco di tempo.

Ora però il mio problema è evitare che questa cosa si ripeta.

Usavo (e vorrei continuare a farlo) il NAS per salvare foto e documenti con Photos e Drive accedendo con quickconnect dall'esterno della mia rete; inoltre accedevo, con lo stesso sistema, alle cam di sorveglianza con Surveillance. Oltre a salvare periodicamente file in LAN con un programma automatico di backup (FreeFileSync).

Ho sempre aggiornato il DSM, era al fw 7.0 o 7.1, sinceramente non ricordo, ma era l'ultimo disponibile.
Avevo disabilitato l'admin e creato un utente amministratore con un altro nome e 2fa; e proprio con questo l'hacker è entrato, senza che mi arrivasse nessuna notifica, qualche giorno fa. Nel log c'è un accesso dalla Germania con quell'account l'11/4 (con tanto di IP) e poi il mio ultimo.
Non frequento siti strani, non ho rilevato malware nel mio computer e l'unica cosa cambiata in questi ultimi tempi è stato solo il passaggio a Iliad, per cui sembra che debba usare per forza IPV6, mentre in precedenza col vecchio router l'avevo disabilitato. Inoltre con questo router ho usato unpn, cosa che non facevo con quello precedente di fastweb.

Ora, cosa faccio? Basta formattare i dischi e installare DSM da capo per liberarmi dal ransomware?
Soprattutto, posso farlo collegandolo in LAN o al PC o c'è il rischio che il virus si diffonda?
E poi, quali procedure di sicurezza devo seguire, oltre a quelle consigliate dal Nas stesso che avevo già applicato, ma che evidentemente non sono state sufficienti?
Potrei anche bloccare gli accessi da fuori Italia, ma ho il sospetto che per un hacker sarebbe facile cambiare IP.

Scusate la lunghezza e le domande complesse e grazie se potrete aiutarmi.

[burghy86]

buongiorno, questa è una novità anche per me.
mi spiace dell'attacco, era presente un backup?
c'erano porte aperte sul router? altri utenti attivati?
se avevi l'upnp il nas apriva le porte in autonomia, nonn vorrei fosse quello.
avevi altri utenti?
apri subito unnticket con synology così verificano anche loro se davvero l'attacco non è recuperabile

[Aenea]

Grazie burghy86 della risposta e della solidarietà.
Ho più di un backup, per fortuna, ma come puoi immaginare è una scocciatura ripristinare tutto. Inoltre è molto seccante pensare che i miei dati possano essere finiti in mano a degli estranei.

Purtroppo con l'UpNP le porte vengono aperte dal router.
Fra l'altro Iliad non dà l'intero range di porte, ma solo un certo gruppo, che nel mio caso non è il primo, per cui avrei dovuto reindirizzare a mano ogni porta... per questo ho lasciato fare all'UpNP

Quello che mi ha veramente lasciato perplessa è che il virus sia entrato con le mie credenziali (avevo disattivato admin e guest); io entravo con 2fa e l'app Secure SignIn sul cellulare, e non è arrivato nessun avviso.
Ho solo un altro utente, sempre nel gruppo admin, con un altro nome, ma di quello non si rilevano log in, completamente inattivo da quando l'ho creato.

Io temo che la responsabilità sia più di QuickConnect e dei miei accessi dall'esterno, ma sinceramente non saprei dove e cosa controllare. Me la cavo bene se devo seguire istruzioni e tutorial, ma non sono esperta di reti nè di Linux.

Ho guardato ieri, prima di scrivere qui, sul sito della Synology. Purtroppo il mio nas, essendo così vecchio, ha un'assistenza limitata. Proverò comunque a chiedere indicazioni. Anche perchè, come puoi capire, la mia preoccupazione principale è evitare che possa succedere di nuovo, anche nel caso di acquisto di un nuovo nas.

[Aenea]

Eccomi di nuovo con un aggiornamento.
Ho scritto all'assistenza Synology quello che è capitato.
Devo dire che sono molto veloci, nel giro di mezz'ora hanno risposto, e di quest'attenzione li ringrazio.
Purtroppo non hanno soluzioni, nel senso che mi hanno consigliato di non pagare (cosa che comunque non avevo intenzione di fare) e mi hanno indirizzata ad un sito dove, a volte, si potrebbe trovare una soluzione. Ma nel mio caso non c'è, probabilmente è un ransom poco diffuso.

Mi hanno dato inoltre tutta una serie di link sul loro sito riguardanti la sicurezza e cosa fare nella malaugurata evenienza di attacco, la maggior parte dei quali, sinceramente, avevo già letto e che rispondono - parzialmente - alle mie domande.

Quanto a cosa abbia permesso l'ingresso del ransom, ammettono di non averne idea e dicono che con autenticazione 2fa non "dovrebbe" essere possibile. Fra le cause più probabili firewall settato male e SMB esposto.

Potrebbe indubbiamente essere stato un mio errore di impostazione del firewall e di porte aperte nel/dal router.
Ma ho il sospetto, visto che l'ID che l'hacker mi ha assegnato per identificarmi in caso pagassi corrisponde al Quickconnect e che lo stesso non richiede le credenziali una volta impostate le varie applicazioni, che il problema sia stato lì. Anche perchè potendo accedere a Drive ci vuole un secondo a uplodare un virus nel disco.

Prima di collegare il nas ad un vecchio pc e formattare tutto magari cerco di capire se può essere stata questa la porta di accesso.
E nel frattempo, visto che avevo comunque intenzione di farlo, sto vagliando un nuovo nas...penso il DS224+, sperando che vada avanti per i prossimi 10 anni.

[burghy86]

proprio strano come attacco. se upnp ha attivato una porta ok, ma se hanno usato qc è tutto un altro paio di maniche. il problema di drive è che possono aver anche copiato il file virus sul nas ma eseguirlo con i permessi di amministratore dove poi riuscire a collegarsi a basso livello e giocare con i volumi è tutt'altra cosa

[Aenea]

Avevo solo 2 account sul NAS, entrambi amministratori (avevo disattivato admin e guest).
Uno creato e mai usato, l'altro invece utilizzato per tutto, comprese le applicazioni Drive, Photos e Survelliance.
Per entrare in DSM usavo l'app Secure Sign In, ed era ancora attiva a criptaggio del volume avvenuto, quindi secondo me da lì non sono entrati.
Per le applicazioni invece QC, che una volta settate non richiedono più nulla.
Ma è sempre con quell'utente che c'è stato l'accesso anomalo dalla Germania.

Potrebbe essere qui il problema? Poi mi piacerebbe capire come hanno fatto a trovare indirizzo QC e password...

Prossima volta comunque creo un altro utente non amministratore per accedere dall'esterno e magari mi studio per bene come creare una VPN, sperando sia più sicura.

[mircoriNas]

@Aenea
Buongiorno, esprimo anch'io solidarietà per quanto ti è accaduto.
Puoi postare i riferimenti che ti ha dato Synology: il sito dove si potrebbero trovare soluzioni in caso di ransomware e la serie di link al sito Synology?
Grazie. Saluti

[Aenea]

Grazie, @mircoriNas

I link da consultare sul sito Synology:
https://kb.synology.com/DSM/tutorial/Wh ... ransomware
https://kb.synology.com/DSM/tutorial/Ho ... ogy_device
https://kb.synology.com/DSM/tutorial/Ho ... all_in_DSM
https://kb.synology.com/DSM/tutorial/Ho ... wall_rules

Per il sito:
https://www.nomoreransom.org/en/decryption-tools.html

Personalmente, ho trovato utili anche un altro paio di siti che non so se è possibile citare qui, magari te li mando in privato.

Nel frattempo ho formattato tutto, reinstallato DSM e sto ricaricando i dati
Ho riapplicato le norme di sicurezza di prima (admin disabilitato, 2FA...), ma questa volta con regole più rigide nel firewall (ad es., bloccato tutto fuori Italia).
Disabilitato UpNP sul router.
E ho installato Tailscale, con l'intenzione di usare VPN per collegarmi da fuori.
Speriamo bene...

[mircoriNas]

Ti ringrazio per le risposte.

Approfitto per porre una domanda a te e ad altri.

Al momento uso il Nas solo all’interno della rete locale.
Il Nas rimane collegato alla rete locale quasi sempre (raramente lo spengo o lo stacco dalla rete).
Contatti del Nas con Internet: per gli aggiornamenti e quando uso Download Station per scaricare file (non uso VPN), principalmente da RaiPlay, Infinity, LA7, e simili.

Il fatto che non io non acceda al Nas dall’esterno riduce il rischio di essere attaccato da ransomware?
Può essere utile utilizzare una VPN quando uso Download Station? (Probabilmente male non fa!)

In ogni caso ho impostato regole più rigide rispetto a quelle che avevo.

[burghy86]

direi che tu sei a posto. manca solo un backup