Sziasztok! Hasonló helyzet van nálunk is. Bő egy hete megkeresett egy civil szervezet, ransomware támadás megzabálta az adataikat egy NAS-on. Bevizsgáltuk az eszközeiket, és olyan kritikán aluli "megoldásokat" találtunk, aminél előkerült a családi káromkodásgyűjteményem. Van ugye olyan hogy hibázunk, elrontunk valamit, vagy adott helyzetben kicsit eltérve a "best practice" megoldásoktól, szokatlanul alakítunk ki valamit. De ez itt egészen más, és egy " IT cég" követte el. Vázolom hogy mi az az öt pont amiből szerintem egy is elég ahhoz hogy "belekössek" a kivitelezőbe:
- A NAS admin felülete alapértelmezett porton, titkosítás nélkül (80-as port) kint volt publikus IP címen.
- A NAS alapértelmezett "admin" fiókját (is) használták. A jelszó a szervezet neve, pár kis-nagybetű variálással és egy számmal.
- Az SMB szolgáltatás ki volt nyitva az Internet felé! Úgy ahogyan van, csupaszon, minden nélkül! 445-ös, stb. portok. Magában. Az eszközök egy dinamikus DNS címre csatlakoztak, simán "map network drive"-al... A hozzáférés külsős partnerekkel is meg volt osztva.
- Semmilyen biztonsági mentés nem készült. A NAS sem snapshot képes, se fájlelőzmények, semmi. Amit felülírtak, az felül lett írva.
- Tavaly év közepe fele kiadott a NAS gyártója egy közleményt hogy sebezhetőek az eszközeik, azonnal frissíteni kell a firmware-t. Ugye mondanom sem kell hogy nem volt frissítve, a sebezhetőségen át is simán törhető volt az eszköz amúgy is.
Szerintetek van jogorvoslati lehetőség ilyen esetben? Közel három évtized munkája ment a levesbe.
(Zárójel: ha valakinek van tapasztalata a C3rb3r nevű zsarolóvírussal (.L0CK3D kiterjesztés), kérem keressen meg!)