Oud botnet ronselt plots fors meer NAS-apparaten
De snelle stijging van het aantal bruteforce-aanvallen was voor het Product Security Incident Response Team van Synology reden om een waarschuwing uit te sturen. Onder andere Tweakers schrijft over die waarschuwing, waarin Synology uitlegt hoe het StealthWorker-botnet werkt en wat eigenaren van NAS-apparaten (Network Attached Storage) kunnen doen om hun apparaat veilig te houden.
Botnet en ransomware
De één of meerdere opslagschijven van zo'n genetwerkt opslagsysteem wordt bestuurd door een software-omgeving, die ook toegang tot de opgeslagen bestanden regelt. Dat besturingssysteem (of firmware) is afgeschermd met een gebruikersnaam en wachtwoord. Een bruteforce-aanval probeert veelvoorkomende beheerderswachtwoorden in te voeren om zo het wachtwoord voor de NAS te raden. Als dit lukt, krijgen de hackers toegang tot het opslagapparaat.
In het geval van het StealthWorker-botnet wordt de NAS automatisch toegevoegd aan dit botnet, dat zichzelf zo verder uitbreidt. Een gekaapte NAS wordt echter niet alleen ingezet als meewerkend onderdeel van het botnet, voor bijvoorbeeld het uitvoeren van DDoS-aanvallen. Synology merkt op dat aanvallers in sommige gevallen ook een kwaadaardige payload op het apparaat installeren, voorzien van ransomware. De ransomware versleutelt de bestanden op de harde schijven, waardoor de eigenaar er niet meer bij kan en losgeld moet betalen om weer toegang te krijgen.
Synology geeft tips
Het beveiligingsteam van Synology merkt op dat het StealthWorker-botnet zich vooral richt op Synology-NAS-apparaten, maar dat het ook apparaten van andere merken aanvalt. Synology raadt gebruikers van een NAS aan om het adminwachtwoord - indien ze dat nog niet gedaan hebben - te veranderen in een eigen, sterk wachtwoord. Verder raadt het bedrijf aan om de beveiligingsfuncties Accountbescherming en Autoblock aan te zetten, én om - indien mogelijk - tweestapsverificatie (2FA) in te schakelen.
StealthWorker werd in 2019 voor het eerst opgemerkt door beveiligingsfirma Malwarebytes en richtte zich in eerste instantie op het binnendringen van webwinkels. Later is het botnet zich meer gaan richten op Windows-machines en Linux-apparaten, waar veel NAS-modellen onder vallen.
NAS-malware bestaat al jaren
Malware gericht op NAS-apparaten is overigens geen nieuw fenomeen. Al jaren verspreiden kwaadwillenden malware om NAS-systemen over te nemen, zoals deze malware uit 2014 die specifiek Synology-NAS-modellen kaapte. De hackers vroegen destijds 0,6 Bitcoin, wat toen 280 euro waard was maar wat nu 23.000 euro waard is.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee