Defending Users’ NAS Devices From Evolving Threats
Immer mehr Cyberkriminelle nehmen NAS-Geräte (Network-Attached Storage) ins Visier, da auf ihnen viele wertvolle Daten gespeichert sind und die Sicherheitsmaßnahmen meist nur ungenügend sind. In unserem neuesten Forschungsbericht analysieren wir die wichtigsten Bedrohungen für NAS-Systeme bekannter Marken.
Save to Folio
Defending Users’ NAS Devices From Evolving Threats
Immer mehr Cyberkriminelle nehmen NAS-Geräte (Network-Attached Storage) ins Visier, da auf ihnen viele wertvolle Daten gespeichert sind und die Sicherheitsmaßnahmen meist nur ungenügend sind. In unserem neuesten Forschungsbericht analysieren wir die wichtigsten Bedrohungen für NAS-Systeme bekannter Marken.
Originalartikel von Stephen Hilt, Fernando Merces, Threat Researchers
Die Bedrohungen für das Internet der Dinge (Internet of Things, IoT) entwickeln sich weiter, denn Benutzer und Unternehmen sind zunehmend auf diese Geräte angewiesen, um eine kontinuierliche Konnektivität, den Zugriff auf Informationen und Daten sowie die Kontinuität von Arbeitsabläufen zu gewährleisten. Cyberkriminelle nutzen diese Abhängigkeit und aktualisieren regelmäßig ihre bekannten Tools und Routinen. Sie nehmen Network-Attached-Storage-Geräte (NAS) in ihre Liste der Angriffsziele auf, wohl wissend, dass die Anwender auf diese Geräte zum Speichern und Sichern von Dateien angewiesen sind. Wichtiger noch: Sie wissen auch, dass diese Geräte wertvolle Informationen enthalten und nur über minimale Sicherheitsmaßnahmen verfügen. Wir haben die aktuelle Infrastruktur, die Umgebung, die Bedrohungen untersucht, sowie Empfehlungen für die Verteidigung von Systemen gegen diese Bedrohungen für NAS-Geräte.
Basierend auf kürzlich dokumentierten Angriffsszenarien haben wir die folgenden Bedrohungen ausgemacht, die auf NAS-Geräte von Benutzern und Unternehmen zielen:
- Ransomware: NAS-Geräte sind anfällig sowohl für traditionelle als auch moderne Ransomware-Arten. Die auffälligsten Routinen, die wir in den letzten Monaten beobachtet haben, waren die für Qlocker, REvil, eCh0raix und DarkSide. Alle Familien und Varianten suchen potenzielle Eintrittspunkte über Schwachstellen und Konfigurationen in den Linux-basierten Plattformen, was darauf hindeutet.
- Botnets: Botnet-Infektionen und -Angriffe sind seit 2016 in IoT-Geräten weit verbreitet, vor allem weil sie in der Lage sind, Infektionen auf so viele Hosts wie möglich zu verbreiten und somit die zahlreichen Ziele der Kriminellen zu unterstützen, z. B. Starten von DDoS-Angriffen (Distributed Denial of Service). NAS-Geräte sind ideal dafür, da sie nur über minimale Sicherheitsvorkehrungen und Schutzmechanismen verfügen. Darüber hinaus können selbst ältere Malware-Typen und Infektionen in diesen IoT-Geräten aufgrund fehlender Patches jahrelang unentdeckt bleiben.
- Kryptomining: NAS-Geräte sind aufgrund von Sicherheitslücken in den Softwareversionen und nicht implementierter Updates nach wie vor anfällig für illegale Kryptowährungs-Mining-Angriffe. Kryptominer können Secure Socket Shell (SSH)-Zugangsdaten über Brute Force knacken. Manche finden es nur als lästig, dass Coinminer wie UnityMiner und Dovecat ihre NAS-Ressourcen nutzen, doch sind diese Miner in Wirklichkeit ein Symptom für ein größeres Sicherheitsproblem und können für bösartigere Aktivitäten genutzt werden.
- Hochgradig gezielte Angriffe: Als Backup-Speichergerät sind NAS-Geräte Repositories wertvoller Informationen und können auch Ziele von Advanced Persistent Threats (APTs) wie QSnatch (alias Derek) sein, einer Malware-Familie, die sich speziell auf QNAP NAS-Geräte konzentriert. QSnatch ist mit seiner Persistenz und Funktionen zur Umgehung der Erkennung sehr ausgeklügelt und wird wahrscheinlich als eine Art Waffe für Cyberspionage eingesetzt.
In unserem Whitepaper „Backing Your Backup: Defending NAS Devices Against Evolving Threats“ machen wir deutlich, wie wichtig es ist, die Risiken von Malware-Infektionen und gezielten Angriffen auf NAS-Geräte zu minimieren. Zudem haben wir als Beispiel zwei Malware-Familien analysiert: die REvil-Ransomware und die StealthWorker-Botnets.