W ostatnich tygodniach obserwujemy nasilenie działań hakerskich wymierzonych w serwery NAS z konfiguracją RAID. Wiele osób wciąż uważa, że cyberprzestępcy atakują wyłącznie wielkie korporacje z ogromnymi bazami danych, a wszelkie niebezpieczeństwa dotyczą jedynie dużych firm z rozbudowanymi infrastrukturami. Niestety rzeczywistość pokazuje, że ofiarą cyberataku może paść każdy – od użytkownika domowego, przez jednoosobową działalność, po największą korporację.
Kto i dlaczego pada ofiarą ataków?
Choć wiele osób uważa, że w ich kraju czy wśród znajomych takie sytuacje nie mają miejsca, to najnowsze statystyki i doniesienia z firm zajmujących się bezpieczeństwem IT mówią jasno: cyberataki dotykają wszystkich. Dodatkowo w 2016 roku aż jedna trzecia ataków wiązała się z dotkliwymi konsekwencjami finansowymi dla zaatakowanych użytkowników i przedsiębiorstw. Straty te rosną z każdym rokiem, a przyczyną są coraz bardziej wyrafinowane metody działania hakerów.
Ransomware – najbardziej niszczycielska forma ataku
Wśród wielu zagrożeń największe żniwo zbiera oprogramowanie ransomware. To narzędzie szantażu, które:
- Wykorzystuje luki w oprogramowaniu serwera lub w zabezpieczeniach użytkowników.
- Blokuje dostęp do danych lub modyfikuje oprogramowanie systemowe.
- Żąda okupu w zamian za przywrócenie danych do stanu używalności.
W ostatnim czasie coraz częściej otrzymujemy zgłoszenia od klientów, których serwery NAS z macierzami RAID padły ofiarą włamań. Zniknęły pliki konfiguracyjne, uszkodzono meta-dane i superbloki, a system operacyjny przestał się uruchamiać. Tym samym firmy z dnia na dzień traciły dostęp do newralgicznych informacji.
Co dzieje się po ataku?
- Uszkodzone meta-dane i superbloki
Atakujący często celowo niszczą lub manipulują danymi konfiguracyjnymi macierzy RAID. Bez prawidłowego rozpoznania rozmiaru bloków, kolejności dysków czy tablic partycji system operacyjny nie jest w stanie wystartować. - Brak dostępu do serwera
Wielu administratorów próbuje na własną rękę naprawić system, co dodatkowo komplikuje strukturę danych na dyskach. Każda nieprzemyślana próba przywrócenia plików może jeszcze bardziej utrudnić inżynierom odzyskanie informacji. - Konieczność rekonstrukcji macierzy
Odtworzenie prawidłowej konfiguracji RAID to żmudny proces, wymagający analizy pozostałych fragmentów danych, które często są niekompletne lub skompresowane. - Straty finansowe i czasowe
W wyniku ataku firmy nie tylko tracą dostęp do kluczowych informacji, ale również ponoszą koszty związane z przestojem w działalności, koniecznością zlecenia usług odzyskiwania danych, a czasem nawet z zapłaceniem okupu (co nie zawsze gwarantuje przywrócenie dostępu).
Przykłady ataków – czego doświadczyli nasi klienci?
W ostatnich tygodniach mieliśmy do czynienia z kilkoma takimi przypadkami. W każdym z nich atak wyglądał podobnie:
- Włamywacze wykorzystali luki w zabezpieczeniach.
- Usunęli bądź uszkodzili pliki konfiguracyjne i meta-dane partycji RAID.
- Zmanipulowali superbloki oraz informacje o rozmiarach bloków i kolejności dysków.
W efekcie dane na dyskach serwera przestały być dostępne. Niektóre firmy, działając w panice, jeszcze bardziej skomplikowały sytuację, próbując samodzielnie przywrócić ustawienia serwera. Ostatecznie jednak udało się odzyskać sporo plików dzięki kopiom zapasowym oraz intensywnym pracom naszych inżynierów z laboratorium.
Dlaczego zabezpieczenia nie wystarczyły?
Nawet pozornie dobrze chronione serwery i sieci mogą okazać się podatne na ataki. Hakerzy wciąż szukają nowych luk w systemach – nierzadko w oprogramowaniu, które nie jest regularnie aktualizowane. Jeżeli znajdą podatność, wykorzystują ją do przejęcia kontroli nad serwerem. Gdy atak się powiedzie, dane przechowywane na dyskach RAID stają się niedostępne dla właścicieli.
Jak chronić się przed atakami?
- Regularne backupy
To najważniejszy element strategii bezpieczeństwa. Kopie zapasowe przechowujmy poza głównym serwerem, np. na zewnętrznych dyskach, taśmach LTO lub w chmurze. Najlepiej kierować się zasadą 3-2-1: trzy kopie danych, na dwóch różnych nośnikach, jedna w innej lokalizacji. - Aktualizacje oprogramowania
Wielu ataków można by uniknąć, gdyby systemy były na bieżąco aktualizowane. Nowe wersje oprogramowania zwykle łatają niedawno odkryte luki. - Segmentacja sieci
Ograniczenie dostępu do serwera tylko dla wybranych adresów czy sieci wewnętrznej znacznie zmniejsza ryzyko nieautoryzowanych połączeń. - Silne hasła i polityka dostępu
Hasła do serwerów NAS muszą być trudne do odgadnięcia (unikajmy standardowych „admin”, „password”). Przydzielajmy też konkretne uprawnienia użytkownikom w modelu „minimum konieczne”. - Monitoring i alarmy
Narzędzia służące do monitorowania systemu i ruchu sieciowego mogą w porę wykryć anomalie, zanim dojdzie do poważnych szkód. - Reakcja na atak
Jeśli już dojdzie do włamania, ograniczmy działania na własną rękę. Najlepiej odłączyć serwer od sieci, skonsultować się z profesjonalistami i postępować zgodnie z ich wskazówkami, aby zminimalizować dalsze straty.
Wnioski
Cyberataki na serwery NAS z macierzą RAID stają się coraz powszechniejsze, a ich skutki bywają katastrofalne zarówno dla firm, jak i użytkowników indywidualnych. Zniszczenie plików konfiguracyjnych, usunięcie meta-danych czy uszkodzenie superbloków może uniemożliwić uruchomienie systemu, a próby samodzielnego ratowania sytuacji często tylko pogłębiają problem.
Aby zabezpieczyć się przed utratą danych, regularne tworzenie kopii zapasowych i przechowywanie ich poza głównym serwerem to absolutna podstawa. W połączeniu z aktualnym oprogramowaniem, starannie przygotowaną polityką bezpieczeństwa i profesjonalnym wsparciem odzyskiwanie danych nawet po poważnym ataku jest możliwe – jednak zawsze wiąże się z wysokimi kosztami i olbrzymią dawką stresu. Zdecydowanie lepiej zapobiegać niż leczyć.