Attacco ransomware su NAS: recupero di volumi, dati e macchine virtuali

Le notizie sugli attacchi informatici creano sempre molta preoccupazione perchè tutti usiamo un computer e siamo potenzialmente esposti. A questo si aggiunge il fatto che il software maligno non solo è in grado di rubare o distruggere i dati, ma può anche estorcere denaro. 

Stiamo parlando dei ransomware, un tipo di infezione che colpisce utenti di qualsiasi tipo crittografando i dati e chiedendo un riscatto, pena la perdita o la divulgazione delle informazioni personali. Negli ultimi anni, questi attacchi hanno preso di mira alcuni dispositivi specifici, come  i NAS QNAP, Sinology e Asustor. 

Secondo gli studi condotti da Sophos, stiamo assistendo a un leggero calo degli attacchi nonostante interessino ancora il 60% delle organizzazioni in tutto il Mondo. Le misure di sicurezza stanno funzionando ma non sono ancora sufficienti a debellare il fenomeno.

Dall’inizio della sua attività, DataLab ha operato su diversi NAS colpiti da ransomware. Anche se una pratica di protezione e sicurezza è fondamentale, abbiamo constatato che queste infezioni sono sempre più difficili da risolvere. Per questo motivo abbiamo sviluppato degli strumenti proprietari che ci permettono di salvare i dati critici, anche in situazioni difficili. In questo articolo vogliamo fornire alcune conoscenze importanti per tutti gli utilizzatori, sia riguardo ai ransomware che alle nostre tecniche di recupero dati.

Metodi di attacco ransomware su NAS

Il ransomware è un malware in grado di entrare nelle reti informatiche e criptare i dati su computer, NAS e server. Mentre malware e virus di solito rubano o distruggono i dati, i ransomware li prendono in ostaggio fino al pagamento di un riscatto (ransom).

La maggior parte delle organizzazioni vittime di un attacco ransomware su NAS ha identificato nel phishing la causa principale. Il phishing è una trappola, di solito una e-mail nella quale viene chiesto di inserire le credenziali per accedere a un servizio noto. Oppure viene chiesto di scaricare un allegato o di cliccare su un link. Il mittente sembra credibile, così gli utenti si fidano e aprono il file o cliccano sul collegamento. 

Un secondo tipo di attacco inizia con l’intercettazione del dispositivo. I criminali individuano il NAS e cercano alcune falle come le porte esposte, il firmware datato o le credenziali di default. Se i criminali riescono a entrare, aumentano i loro privilegi e si muovono lateralmente nella rete. Cambiando le impostazioni del firewall e dei permessi, continuano a operare indisturbati e possono accedere ai dati.

Pur essendo ancora presenti sui dischi, quando i dati vengono crittografati non sono più leggibili. L’utente che prova ad aprire un file viene notificato con un messaggio, nel quale talvolta è indicato il tempo a disposizione. Se il pagamento non avviene entro la scadenza, i criminali minacciano di eliminare o divulgare le informazioni. 

Solitamente è chiesto un pagamento in criptovaluta per coprire l’anonimità del destinatario. Il tempo a disposizione tra la richiesta di riscatto e la minaccia di cancellazione o di divulgazione è molto breve. Questa strategia serve ad aggiungere pressione alla vittima in modo che paghi senza pensarci due volte.

Perchè i ransomware attaccano i NAS ?

Nonostante i criminali informatici sappiano che l’archiviazione di rete ha diverse misure di sicurezza da superare, ci sono alcuni motivi per i quali pianificano un attacco ransomware su NAS:

• popolarità: data la semplicità d’uso, i NAS sono diventati una soluzione di storage molto popolare per aziende e organizzazioni in tutto il Mondo.
• dati in un unica posizione: con un solo accesso, è possibile tenere in ostaggio molte informazioni e chiedere un riscatto alto. 
• connessione alla rete: i NAS sono pressoché sempre online, il che li rende accessibili 24 ore su 24.
• nome utente e password predefiniti: i NAS vengono venduti con configurazioni predefinite che privilegiano la facilità d’accesso.
• mancanza di aggiornamenti: alcuni amministratori di rete sottovalutano l’aggiornamento del software del dispositivo, che contiene le ultime misure di sicurezza.
• mancanza di un backup off-site: i NAS offrono la possibilità di creare copie speculari delle unità di archiviazione (mirroring o RAID 1). Tuttavia tali copie possono essere ugualmente criptate rendendole inutilizzabili per un recupero dati.
• utenti non addestrati: in alcune organizzazioni gli utenti con alti permessi non sono addestrati alla sicurezza e potrebbero cadere nella trappola del phishing.

Oltre a questi motivi, i criminali informatici mirano ai NAS perché loro stessi possono avere accesso diretto all’hardware. Sono in grado di studiare il dispositivo e raccogliere informazioni preziose, come le credenziali di default. Eseguendo test preliminari e piani di attacco, sorprendono sia le vittime che i produttori massimizzando il danno.

I ransomware più pericolosi per i NAS

Alcuni ransomware sono diventati famosi per aver colpito NAS specifici usando diverse strategie. Tra questi ricordiamo:

• Qlocker: ransomware diffuso tra i dispositivi QNAP in grado di sfruttare una falla nell’applicazione Hybrid Backup Sync. Individuato per la prima volta nel 2021, Qlocker è entrato in moltissimi sistemi, trasformando i dati in archivi .7zip con password. QNAP ha successivamente rilasciato una patch di sicurezza, limitando gli attacchi ai dispositivi datati o non aggiornati.
• Deadbolt: ceppo comparso nel 2021 e dotato di un approccio singolare. Anzichè puntare alle grandi organizzazioni, Deadbolt ha colpito utenti QNAP e Asustor di piccole dimensioni. Chiedeva un basso riscatto, perciò le vittime non esitavano a pagare. Grazie a questa strategia, Deadbolt è riuscito ad accumulare ingenti somme di denaro in circa due anni di attività.
• ech0raix: rilevato per la prima volta nel 2019, questo ransomware ha attaccato diversi dispositivi QNAP e Synology, sfruttando la falla nell’applicazione Hybrid Sync Backup o utilizzando attacchi brute force. ech0raiz è in grado di crittografare diversi tipi di dati, tra cui foto, video, documenti, PDF, archivi compressi e database. Il riscatto si aggira intorno a 0,05-0,06 Bitcoin per vittima.
• Blackcat: creato dal gruppo sovietico AlphV, si tratta di un ransomware sofisticato che nel 2023 è riuscito a penetrare nei servizi MyCloud e SanDisk di Western Digital. Diversamente da altri ceppi, il suo scopo era rubare e divulgare i dati, tra cui le informazioni e le password dei clienti. 
• REvil: noto per attacchi di alto profilo come quello a JBS Foods, ha esteso le sue operazioni sviluppando una variante per i server VMware ESXi e per i NAS basati su Linux. L'obiettivo principale di questa variante è la compromissione delle macchine virtuali, sfruttando la condivisione centralizzata delle risorse per massimizzare l'impatto degli attacchi.

Nel contesto della cybersecurity si parla spesso di ransomware in termini di ceppo per identificare una famiglia di software maligni con caratteristiche simili. L'uso del termine riflette l'idea biologica di evoluzione, dove nuove varianti nascono per adattarsi e sopravvivere in ambienti sempre più ostili. Ogni ceppo è un'evoluzione del codice originale, progettato per evitare gli antivirus o colpire bersagli specifici. I ceppi si differenziano anche per metodi di crittografia, tecniche di diffusione o capacità di aggirare i firewall.

Conseguenze su dati, volumi e macchine virtuali

Un ransomware può provocare danni sia a livello di dati che di pool di storage. I dati possono essere criptati nella loro interezza o parzialmente, mentre una configurazione del pool crittografata non permette di riconoscere i volumi rendendo il NAS inutilizzabile.

Ecco alcuni esempi di danni causati:

• crittografia: i dati vengono crittografati utilizzando chiavi che l'utente non può decifrare senza pagare il riscatto. I ransomware possono bloccare tutti i file o solo alcuni, come quelli contenuti in directory specifiche o con estensioni di un certo tipo.
• cancellazione: alcuni ransomware eliminano i file dopo averli crittografati o quando il pagamento del riscatto non avviene entro la scadenza.
• furto: a volte le informazioni vengono caricate su server remoti per essere usate come ricatto, minacciando la divulgazione.
• corruzione del pool di storage: oltre ai dati, anche l'intero pool di storage può essere compromesso. Se i file che contengono le informazioni sui volumi e i dataset vengono crittografati, il sistema non può montare i volumi e accedere ai dati.
• eliminazione di snapshot e backup: i NAS che utilizzano file system ext4, btrfs o ZFS integrano funzioni avanzate di sicurezza, come snapshot e backup automatici. Tuttavia queste misure, utilizzate per risolvere errori e corruzione dei dati, possono essere criptate o eliminate per impedire il recupero dei dati.
• alterazione dei permessi: le autorizzazioni vengono modificate, evitando l'accesso degli amministratori. In questo modo le vittime non sono più in grado di ripristinare l’archiviazione.
• compromissione delle macchine virtuali: i NAS sono ideali per l'esecuzione di macchine virtuali (VM) grazie all'abbondanza di spazio disponibile, all'allocazione dinamica della memoria e al passthrough delle schede PCIe. Una volta penetrato nell'ambiente virtualizzato, il ransomware crittografa i file essenziali delle VM, come i dischi virtuali e i file di configurazione, rendendo inaccessibili i sistemi operativi. Questo porta all'interruzione immediata dei servizi, con potenziali ripercussioni sugli ambienti di sviluppo a larga scala.

Tali conseguenze richiedono interventi complessi, sia per recuperare il pool di storage che i dati. Un attacco ransomware provoca gravi perdite economiche. In primo luogo, se i dati criptati non sono accessibili, l’azienda è bloccata e subisce una perdita di reputazione e di fatturato.

In secondo luogo, alcune aziende cedono subito alla minaccia decidendo di pagare il riscatto. Il pagamento non sempre garantisce la restituzione dei dati. La minaccia potrebbe protrarsi chiedendo riscatti maggiori, oppure i dati potrebbero rimanere bloccati indefinitivamente.

DataLab e il recupero dati da NAS colpiti da ransomware

Se un ransomware colpisce un NAS, eliminando i volumi logici e criptando i dati, la cosa migliore da fare è rivolgersi ad un laboratorio specializzato come DataLab. I nostri tecnici, avendo lavorato su diversi casi, conoscono diverse strategie e possono tentare di salvare i dati. 

Quando veniamo contattati per un attacco ransomware su NAS, iniziamo sempre con un'analisi per verificare lo stato del dispositivo e dei volumi logici. Analizzando i segni dell'attacco, raccogliamo indizi importanti, risalendo ad esempio al ceppo di ransomware. In seguito creiamo un'immagine dello storage: cloniamo i dischi così possiamo operare su delle copie e preservare i dati originali finchè il processo non è concluso. 

In seguito, ecco quello che possiamo fare:

• recuperare i metadati del filesystem: i filesystem come ext4, btrfs o ZFS offrono strutture dati contenenti informazioni utili per il recupero. Utilizzando queste informazioni, possiamo ricostruire i metadati e ripristinare i volumi logici. In casi difficili, eseguiamo una scansione a livello di blocco per individuare e ricostruire i dati grezzi.
• ricostruire il pool di storage: questo processo richiede di identificare correttamente il tipo di RAID (RAID 0, 1, 5, ecc.), l'ordine dei dischi e i parametri dei volumi.
• decriptare i file: se il ransomware utilizza una chiave nota, chiavi uniche o algoritmi vulnerabili, possiamo tentare la decrittografia con strumenti specifici.
• recuperare le macchine virtuali: una volta infiltrato, il malware crittografa i file di configurazione delle macchine virtuali (VM), rendendole inutilizzabili. Per facilitare il ripristino, abbiamo sviluppato tecnologie proprietarie per individuare e ricostruire i file di configurazione e altre informazioni contenute nei volumi virtuali. In questo modo possiamo recuperare almeno parte dei dati evitando alla vittima di dover pagare un riscatto.
• resettare il NAS: eseguiamo una pulizia completa delle unità eliminando ogni traccia del malware. Quando riteniamo che il dispositivo è sicuro, riversiamo i dati recuperati e restituiamo un NAS perfettamente funzionante.

Durante il processo, lavoriamo a stretto contatto con il cliente. I colloqui spesso forniscono dettagli aggiuntivi, ad esempio sulla configurazione dello storage o sull'attacco. Con queste informazioni siamo in grado di velocizzare il lavoro e aumentare le possibilità di successo.

Contattaci per un servizio completo

Anche se la formazione degli utenti è utile per proteggersi da un attacco ransomware su NAS, in molti casi non è sufficiente. I ransomware possono infiltrarsi senza il fattore umano, sfruttando vulnerabilità dei sistemi o protocolli di rete non sicuri. Pertanto, è indispensabile implementare misure di sicurezza avanzate per proteggere l'intera infrastruttura di archiviazione.

In caso di infezione da ransomware, DataLab offre un servizio specializzato di recupero dati, volumi e macchine virtuali da NAS e server. Il nostro team utilizza tecnologie all'avanguardia per ripristinare l'accesso ai NAS bloccati, garantendo le migliori possibilità di recupero. Inoltre, possiamo fornire consulenza sulla difesa da futuri attacchi, che includono strategie avanzate basate su repository air-gapped e creazioni di file e permessi immutabili.

Se il tuo NAS viene infettato, per prima cosa isola il dispositivo dalla rete per impedire la propagazione. Non pagare il riscatto, poiché ciò non garantisce la restituzione dei dati. Per massimizzare le possibilità di recupero ed evitare altre perdite economiche, non esitare a contattarci. Disponiamo di strumenti e competenze tecniche avanzate per recuperare i tuoi preziosi dati.