Privé-foto’s en -films, backups van andere apparaten en telefoons en de volledige bedrijfsadministratie; particuliere apparaten blijken soms wel héél erg makkelijk toegankelijk.
Western Digital (WD), Qnap, Seagate en anderen leveren tal van handige opslagapparaten. Zo levert WD de bekende externe harde schijven van het merk ‘Passport’.
Wie thuis of in het eigen bedrijf wat meer digitale opslagruimte nodig heeft dan zo’n externe schijf biedt, of muziek en films wil bewaren en streamen, is vaak goed af met een NAS-apparaat. Simpel gezegd is dit een doosje met een of meerdere harde schijven dat via internet bereikbaar is. ‘My Cloud’ en ‘My Cloud Home’ noemt WD deze apparaten.
YOUR STORAGE WAS UNPROTECTED
YOUR FILES ARE SAFE. THEY HAVE BEEN ENCRYPTED AND MOVED TO A SAFER LOCATION. IF YOU WANT THEM BACK PLEASE SEND 0.03 BITCOIN TO THIS BITCOIN WALLET:
XXXXXXXXXXXXXXXXXXXXXXXXXXXX
(tekst achtergelaten door een cyber crimineel, aangetroffen op een onbeveiligde NAS)
Om verbinding met een NAS te maken, wordt het apparaat aangesloten op de WifI-router. Zo kan ook draadloos bestanden worden uitgewisseld en foto’s of films worden bekeken op een smartphone of tablet.
Zaak is dan wél dat bij de eerste keer aanmelden de standaard inlognaam en standaard wachtwoord worden gewijzigd. Maar anno 2020 lijkt toch nog niet iedereen doordrongen van het deugdelijke afschermen van privé-bestanden. Zo troffen we op Saba het volgende aan:
afb.1: Na inloggen via een standaard wachtwoord kwamen we zonder problemen in het hoofdscherm. Klik op de afbeeldingen voor een vergroting.
Via een zoekmachine kwam het IP-adres van een My Cloud NAS naar boven. De standaard inlognaam bleek ongewijzigd, evenals het wachtwoord. Daarna lagen de bestanden voor het oprapen: afb.2: Via de ingebouwde File Viewer kregen we toegang tot alle mappen en bestanden.
YOU HAVE UNTILL THE 20th OF JANUARY 2020 TO MAKE THE PAYMENT OR YOUR FILES WILL BE AUTO-DELETED FROM OUR SERVER.
YOUR UNIQUE ID IS; XXX.XXX.XX.XXX
PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO: xxxxx@xxxxx.xxx
(tekst achtergelaten door een cyber crimineel, aangetroffen op een onbeveiligde NAS)
Ook konden gegevens worden aangepast, nieuwe gebruikers worden aangemaakt en bestaande gebruikers worden verwijderd. Met andere woorden: de rode loper is uitgerold voor een gijzeling met ransomware.
afb.2: Via de ingebouwde File Viewer kregen we toegang tot alle mappen en bestanden.
afb. 3: Toegang tot alle instellingen.
De eigenaar van deze NAS opslag is op de hoogte gebracht van het lek zodat hij maatregelen kon nemen.
AFTER THE PAYMENT, YOU WILL RECEIVE AN EMAIL WITH THE LINK TO DOWNLOAD ALL YOUR DECRYPTED FILES, OR INSTRUCTIONS OF HOW TO DECRYPT YOUR DATA LOCALLY.
(tekst achtergelaten door een cyber crimineel, aangetroffen op een onbeveiligde NAS)
Aruba
Op Aruba (maar ook op andere locaties) troffen we iets vergelijkbaars aan, maar daar kwamen we te laat om de eigenaar te kunnen waarschuwen:
afb. 4: Ransomware aangetroffen op een gehackte NAS op Aruba: tegen betaling van 0.03 bitcoin, zijn de files terug te krijgen. Tijdens het schrijven van dit artikel was dit zo’n $ 280,-..
!!! Attention !!!
(tekst achtergelaten door een cyber crimineel, aangetroffen op een onbeveiligde NAS)
Do not try to recover your dat using any third party software.
It will cause permanent data loss!
THANK YOU FOR COOPERATION