image.png

➖➖➖➖➖ #TEKCaseStudy #TEKDiary

▪️ Nhận tin nhắn nhóm từ “anh Bo” ▪️

Đúng vậy, từ nhóm Mess 3 thành viên, mình nhận được yêu cầu hỗ trợ NAS Synology bị tấn công mã hóa từ nạn nhân. Vì là IT đang làm Coder, nên bạn ấy khá bình tĩnh và hết sức chuyên nghiệp trong cách thu thập thông tin, bảo quản hệ thống cho đến tìm kiếm các đầu mối trong việc giải quyết sự cố tấn công mã hóa dữ liệu vào công ty bạn.

Có rất nhiều trường hợp vì vội vàng & thao tác sai sót vì bối rối trong việc giải quyết một sự cố liên quan đến dữ liệu mà phải tốn kém nhiều hơn, thậm chí không thể nào cứu dữ liệu được nữa.

▪️ System NAS DS1019+ & Ticket #883 ▪️

Với việc xử lý nhiều tình trạng NAS bị tấn công mã hóa nên TUNGTEK cũng nhanh chóng thực hiện đầy đủ quy trình đánh giá nhanh, lấy mẫu & tương tác trực tiếp với ban lãnh đạo của công ty để đi đến các giai đoạn Cứu Dữ Liệu Mã Hóa.

Khối lượng dữ liệu tương đương 4TB, thời gian thực hiện mất 5 ngày tính từ lúc xác nhận thực hiên hợp đồng Cứu Dữ Liệu Mã Hóa của TRecovery by TUNGTEK.

image.png

▪️ Nguyên nhân & một chút đề nghị ▪️

Nguyên nhân được chia sẻ từ chính nạn nhân là một lổ hổng quản lý mật khẩu của Chrome bị rò rỉ, từ đó hacker chiếm được Admin và thực hiện tấn công mã hóa dữ liệu. Các bạn cần thông tin chi tiết thì vui lòng nhắn tin trực tiếp cho tôi qua Zalo.

Với quản trị viên NAS Synology, các bạn nên bật xác thực 2FA, sử dụng các hệ thống quản lý cảnh báo & điều quan trọng nhất là dung Hyper Backup và thực hiện nó theo quy tắc 3-2-1 ( nhóm trao đổi sao lưu ở link này https://zalo.me/g/fcvrmh354 )

➖ Mình viết bài này ở thời điểm này cũng đã hòa tất bàn giao dữ liệu cho 883, hai bên chỉ còn trao đổi các thiết bị với nhau vì TUNGTEK giữ cụm Disk của khách hàng để bảo hành, cũng như thực hiện tiếp tục nếu có sai sót trong quá trình Recovery.