Synology Italia - Forum

buongiorno a tutti
spero di trovare una soluzione ad un problema che è capitato ad un mio cliente

premessa :
rete lan segmentata e protetta da firewall fortinet con tutti i servizi di protezione attiva, compresi sandbox e bootnet bloccati (una lista di circa 12000 siti sempre aggiornata)
avirus sempre aggiornato eset con sandox
batteria di 4 nas synology ds400 e ds 1218+ e ds 1318+
la rete è stata bucata da un ransomware (BOMBER) , quasi tutti i server windows criptati, 6 client windows 10 su 120 criptati
ma la cosa più brutta è stata vedere tutti i nas synology con la spia di stato lampeggiante arancione !!!
DSM completamente distrutto
abbiamo tolto i dischi dai nas e montati su un computer con controller sata bello grande e tramite ubunto abbiamo recuperato alcuni dati

mi chiedo e vi chiedo, come possono essere stati distrutti così i nas ?
come potrei difenderli ?

aggiungo che i nas avevano l'ultima versione del DSM e non avevano le porte ssh o telnet aperte
sono veramente affranto, grazie fin d'ora per l'aiuto

Ciao. Mi dispiace per la tua disavventura.
Ci servirebbero più informazioni.
I nas facevano parte di un dominio?
Che servizi erano aperti dall'esterno?
Si è capito da dove è partito l'attacco?
Suo nas che servizi ci giravano? Avevano password diverse dal l'admin di dominio?
Admin e administrator erano disattivati sui nas e sul dominio nel caso ci fosse?
Cosa intendi per rete segmentata?

mamma mia, non dormo più...

si, ahimè erano in dominio
dall'esterno nulla, ne ssh ne terminal ne nulla, sono stati bucati dall'interno, probabilmente da un server di dominio (con password complessa ma ovviamente uguale a quella di admin dei nas)
credo sia partito da una vulnerabilità di exchange
rete segmentata perchè ci sono 3 domini con tre reti diverse ma interconnesse tramite interfacce nel firewall fortinet

vi chiedo, impostando la copia della cartella di backup in locale e creando una rotazione di 3 versioni, in 3 giorni, se vengo colpito le copie precedenti rimangono ? ovviamente se non mi bucano i nas con la login admin

Si. Puoi fare un Snapshot del nas mantenendole.

Se i nas fanno solo da backup due dritte.
Usa active backup for business per fare i backup dei server.
Utente admin disattivato
Utente amministrativo con nome diverso (a fantasia ituser)
Due fattori attivi
Non metterlo in dominio. Non serve.
Smb ftp nfs ssh disattivato.
Firewall nas:
Regola nas che accetta l'accesso dsm solo da un pc di gestione (il tuo portatile?)
Regola nas che accetta active backup for business solo da ip dei server.

Spegni i nas e farlo accendere solo nel periodo di backup.

Ma che porte pubbliche avevi aperto? exchange di sicuro, era aggiornato? Qualche anno fa c'era un super exploit per exchange. Spero non ci siano rdp aperti