Ransomeware - kein Speicherpool, keine Volumes mehr da

Hubert_Vienna

Benutzer
Mitglied seit
16. Mai 2023
Beiträge
16
Punkte für Reaktionen
12
Punkte
3
Hallo,

ich bin verzweifelt.

Ich habe in meinem Netz mehrere Synology NASen, zwei davon nutze ich nur zur Datensicherung. Sowohl auf Dateiebene, als auch mit ActiveBackup.

Nun wurde meine IT verschlüsselt. UND - bei allen NASen, die Backup beinhaltet haben, ist der Speicherpool gelöscht. Bei allen anderen NICHT.
Ich hoffe zutiefst, dass die Daten noch auf den Platten sind, aber ich bin überhaupt kein Linux-Mann. Kann man den Speicherpool bzw. das Volume auf Linux-Ebene irgendwie wieder herstellen?

Kann mir da bitte wer helfen?

Beste Grüße
Hubert
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.083
Punkte für Reaktionen
2.060
Punkte
259
Erst mal alles runter fahren / abschalten.

Dann bitte mal eine konkrete Liste posten, welche Geräte im Netzwerk sind, und was darauf läuft.

Hattest du auf jeder DS eigene Admin-Benutzer, jeder mit einem eigenen Passwort, und 2-Faktor-Authentifizierung ?

Gab es für die Backup-Nutzung ebenfalls eigene User, mit eigenen Passwörtern ?

Sind Windows-PCs im Netzwerk ? Iot-Geräte ?

Gibt es noch einen vertrauenswürdigen Computer, den man später für einen DS-Zugriff verwenden kann ?
 
  • Like
Reaktionen: wegomyway

Hubert_Vienna

Benutzer
Mitglied seit
16. Mai 2023
Beiträge
16
Punkte für Reaktionen
12
Punkte
3
Hallo,

Erst mal alles runter fahren / abschalten.
--schon geschehen--

Dann bitte mal eine konkrete Liste posten, welche Geräte im Netzwerk sind, und was darauf läuft.
--das Netzwerk ist schon "aufgelöst", es geht nur mehr um die beiden (ehemaligen) BackupNAS--
1 x DS2419+
1 x DS3018xs
Interessant ist, dass nur die Speicherpools von diesen beiden NAS gelöscht wurden, bzw. nicht mehr da sind, auf denen die Backups lagen und ActiveBackup gelaufen ist. Auf DSM kann ich bei beiden zugreifen, die Web-oberfläche funktioniert.

Hattest du auf jeder DS eigene Admin-Benutzer, jeder mit einem eigenen Passwort, und 2-Faktor-Authentifizierung ?
--Ja, eigene Admin Benutzer gibt es, keine 2-Faktor-Authentifizierung. Wollte ich demnächst umstellen.---

Gab es für die Backup-Nutzung ebenfalls eigene User, mit eigenen Passwörtern ?
--Ja, gab es--

Sind Windows-PCs im Netzwerk ? Iot-Geräte ?
--Windows Geräte waren im Netzwerk, mittlwerweile sind die beiden NAS nicht mehr im Netz. Keine Iot-Geräte--

Gibt es noch einen vertrauenswürdigen Computer, den man später für einen DS-Zugriff verwenden kann ?
--Ja, gibt es--
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.041
Punkte für Reaktionen
2.126
Punkte
289
Externes Backup vorhanden?
Ist das o.a. Szenario geschäftlich?
 
  • Like
Reaktionen: wegomyway

Hubert_Vienna

Benutzer
Mitglied seit
16. Mai 2023
Beiträge
16
Punkte für Reaktionen
12
Punkte
3
Hi,

externes Backup - ja, aber unbrauchbar alt. Laufwerk für externe Sicherungen ist uns vor einiger Zeit kaputt gegangen, wollte es dieses Wochenende tauschen. Ich könnte mich .....

Ja, ist geschäftlich. Wir sind eine kleine Elektrikerfirma mit zwei Leuten. Ohne den Daten, bzw. zumindest einem Teil davon schaut es düster aus.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.432
Punkte für Reaktionen
5.663
Punkte
524

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.041
Punkte für Reaktionen
2.126
Punkte
289
Auch wenn das jetzt wahrscheinlich nicht das ist, was du hören möchtest:
-Ruhe bewahren, jede ungeplante Aktion kostet jetzt noch mehr Geld und rächt sich später
-Datenschutzbeauftragten informieren (falls vorhanden, bei 2-Mann-Betrieb wahrscheinlich eher nicht)
-Datenschutzbehörde informieren
-Anzeige bei Polizei erstatten
-Dienstleister einschalten
-altes Backup sichten wie dort der Datenstand ist (altes Backup ist besser wie gar keins)

Bitte das alles in einem Kontext bzw. Zusammenhang sehen, mit Bedacht und Überlegung handeln und nicht überstürzt nach dem Motto: "Wir müssen direkt weiter arbeiten, jede Minute kostet uns Geld".

Habt ihr intern eine IT-Administration? Sind Wiederanlaufpläne bzw. ein Disaster Recovery vorhanden?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.083
Punkte für Reaktionen
2.060
Punkte
259
Waren die gelöschten Speicherpools verschlüsselt (Volume-Verschlüsselung) ?

Vom Angriffsszenario her muss jemand Zugriff auf die Admin-Passwörter bekommen haben. Das ist wahrscheinlich auf einem der Clients passiert (Windows-PC). Nur mit diesen Zugriffen lässt sich ein Speicherpool löschen. Vermutlich sind die Daten noch da, aber auch das läßt sich eben nur vermuten. Wir hatten im Forum auch schon Fälle, bei denen die Daten zuerst noch verschlüsselt wurden.

Die Angreifer konnten sich vermutlich einige Zeit im Netzwerk bewegen, wenn sie so gezielt die Backups angegriffen haben. Sie hatten daher auch Zeit, weitere Schweinereien anzurichten. Der Speicherpool ist schnell gelöscht, vielleicht wird damit aber nur eine andere Aktion verdeckt, die vorher durchgeführt wurde.

Daher schließe ich mich meinen Mitforisten an: Ohne eine professionelle Unterstützung wird sich hier nichts ausrichten lassen. Zumal die Gefahr besteht, dass bei Rettungsversuchen per Forumsdiskussion noch etwas zerschossen wird.

Das kostet jetzt, aber nicht arbeiten können kostet im Zweifel mehr.
 
  • Like
Reaktionen: maxblank

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.064
Punkte für Reaktionen
1.086
Punkte
194
Konntest du bei dir schon heraus bekommen wie die Angreifer reingekommen sind?
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.064
Punkte für Reaktionen
1.086
Punkte
194
Es würde uns freuen wenn du uns da bisl auf dem laufen hälst.
Das hilft immer sehr um unsere eigene Netze auch zu schützen.


Ach und ich wünsche dir da auch viel erfolg und starke nerven.
Und den Verbrechen wünsche ich die Pest an den Hals
 

Hubert_Vienna

Benutzer
Mitglied seit
16. Mai 2023
Beiträge
16
Punkte für Reaktionen
12
Punkte
3
Alles klar. Was momentan feststeht ist, dass die schon lange in unserem Netz aktiv waren, und die entsprechenden Passworte abgecheckt haben. Und dann gnadenlos den Speicherpool gelöscht haben.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.064
Punkte für Reaktionen
1.086
Punkte
194
Sowas ist echt gruselig .
Und als keine Firma wie Ihr hast da eigentlich kaum eine Chance so jemanden zu erkennen
 
  • Like
Reaktionen: dil88

Hubert_Vienna

Benutzer
Mitglied seit
16. Mai 2023
Beiträge
16
Punkte für Reaktionen
12
Punkte
3
Jein, wir sind eigentlich recht gut ausgestattet... Firewall mit den notwendigen Apps, keine EndpointSecurity, kein Scanner, nichts hat angeschlagen. Völlige Machtlosigkeit...
Aber Fehler wie - keine 2FA, keine lokale Verschlüsselung, keine Kontrolle der Offline Sicherung, keine regelmäßigen Tests der Rücksicherung etc passieren mir nicht mehr. Wird halt alles mittlerweile echt aufwändig.
 
  • Like
Reaktionen: ctrlaltdelete

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.064
Punkte für Reaktionen
1.086
Punkte
194
Wie viele Clients habt Ihr denn?
Das Problem ist ja , FIrewall , EndpointSec und co sind gut . Helfen aber nur bedingt bei guten Hackern.
Da brauchst schon eine rechte Einbruchserkennung . Und sehr scharfe Regeln.

Was ich bei mir noch gemacht hab.
Ich hab nen einzelne Synology . Die per Pull Backup nochmal sich alle Wichtige Daten zieht.
Dort ist aber per Firewall der DSM Zugriff aus dem Netzwerk blockiert.
Ich muss da über den 2. LAN Port direkt drauf zugreifen.
Das mach ich dann mit nem älteren Laptop den ich nur nehme um das Gerät zu überprüfen ob alles läuft.

Ist zwar vom Handling echt nervig , aber so hat aus dem Netzwerk keine ne Chance drauf zu zu greifen.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.064
Punkte für Reaktionen
1.086
Punkte
194
Ich hab noch 2 Externe Platten , die ich immer mal anschließe und die dann wieder im Safe verschwinden.

Das ist dann aber auch eher die Angst platte um ruhig zu schlafen.

Irgendwann hat man auch alles getan was möglich ist
 
  • Like
Reaktionen: Hubert_Vienna

Hubert_Vienna

Benutzer
Mitglied seit
16. Mai 2023
Beiträge
16
Punkte für Reaktionen
12
Punkte
3
Habe noch einen kleinen HA-Cluster im Netz, der runtergefahren wurde, bevor er verschlüsselt wurde. Zumindest glaube ihc das, konnte noch auf die Daten zugreifen. Ich trau mich jetzt nicht, beide hochzufahren. Würde gerne einen hochfahren, und versuchen, die Daten runter zu kopieren. Und den anderen noch ausgeschalten lassen, falls er doch schon befallen ist. Gibt es da Erfahrungen, nur das aktive oder passive NAS hochzufahren?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat