Achtung! SynoLocker verschlüsselt Daten auf Synology-NAS
Wie wichtig das regelmäßige Einspielen von Sicherheitsupdates sind, muss sicherlich nicht erneut aufgeschrieben werden. Fast täglich sind wir neuen Bedrohungen im Netz ausgesetzt – und eben jene machen nicht nur Jagd auf Sicherheitslücken in Desktop-Systemen oder Smartphones, sondern sie suchen auch andere Einfallstore.
Diese können zum Beispiel vorhanden sein, wenn man Geräte via Internet erreichbar macht. Mal die Thematik VPN außen vor gelassen: Ich persönlich bin da ja etwas abgeschotteter unterwegs, so hat mein Synology NAS derzeit nur Verbindung im heimischen Netzwerk, ist von draußen also nicht erreichbar. Ich vollziehe gerne eine Trennung zwischen Internet und LAN möchte auch Dienste trennen – und eben jenes gelingt mir nur, wenn ich das NAS, welches ich für wichtige Daten nutze, abschotte.
Hier verzichte ich dann zwar von extern auf die Bequemlichkeit, auf gewisse Daten zuzugreifen, allerdings fühle ich mich sicherer. Nun aber zum eigentlichen Thema: Es sind Fälle bekannt geworden, bei denen Synology NAS-Systeme angegriffen wurde. Irgendeiner der darauf laufenden Dienste hat eine Sicherheitslücke, die es Angreifern ermöglichten, in das NAS einzubrechen und dort einen Dienst zu starten, der sämtliche Daten verschlüsselt – den SynoLocker.
Den Benutzer erwartet eine Meldung, dass er sich via Tor Browser auf einer bestimmten Webseite einloggen soll. Hier wird dann eine Zahlung fällig, ansonsten sind die Daten unwiederbringlich stark verschlüsselt und damit verloren. Der Bruder unseres Lesers Marc ist ebenfalls ein Betroffener und kann nun nicht mehr auf seine Daten zugreifen – kein Einzelfall, wenn man NAS-Foren durchsucht.
Wir werden das Ganze im Auge behalten und gegebenenfalls später noch einmal darüber berichten. Bis Informationen darüber vorliegen, ob nur ältere DSM 4.x-Versionen betroffen sind, oder aber auch neuere, solltet ihr vielleicht euer Synology NAS von der Außenwelt abschotten (alle Infos, die ich bislang fand, beziehen sich auf DSM 4.3). Also: Entweder Dienste auf dem NAS deaktivieren, oder die Erreichbarkeit von draußen beenden – vielleicht über etwaige Port-Weiterleitungen in eurem Router. Eine offizielle Stellungnahme steht noch aus. (Danke Marc und Christoph!)
Meine Synology ist per Geo-FW so eingestellt daß man nur von Deutschland aus drauf zugreifen kann.
Wenn die Hacker nicht hier sitzen oder ihre IP nach Deutschland umbiegen kann doch nichts passieren, oder?
@Christian: Und wer garantiert Dir, dass Deine FW keine Sicherheitslücke oder absichtliche Hintertür hat? Die Hersteller patchen zwar solche Lücken oft, aber halten sich zu den Details meistens sehr bedeckt. Das war auch bei der letzten großen Sicherheitslücke von Synology der Fall.
Timo, eine kleine Frage, kannst du dir den Screenshot von ifun mal angucken? Hattest du die Oberfläche im Hintergrund sichtbar und ein Logout Button auf der Meldung?
So wie ich das sehe, wirst du direkt auf die Seite weitergeleitet, richtig?
Warum ich dies Timo frage? Für mich sieht der Screenshot nach einem kurzen „Paint“ Job aus, der Rest der angeblichen DSM5 usern sind DAUs, oder haben auf 4.3 korrigiert. Konnte bisher KEINEN post in diversen Foren finden, welcher klar und deutlich eine geupdatete DSM5 rennen hatte.
@Lux: wie gesagt: dann muss der Angreifer ja schon (mit der IP) aus Deutschland kommen um nicht direkt von der FW abgeiesen zu werden.
Eine NAS gehört einfach nicht ins Internet, zumindest nicht wenn dort viele private Dinge drauf hat. Ich persönlich kontaktiere meine NAS nur über IPSec VPN und das kommt wiederum nicht über diese Box direkt.
Nach einer angeblichen Antwort vom Synology Support (https://twitter.com/o5chi1/status/496571197870837760/photo/1) nutzen die Angreifer immer noch den im Frühjahr bekannt gewordenen und im Februar gefixten Bug (http://www.synology.com/de-de/company/news/article/437).
Sofern diese Aussage tatsächlich von Synology stammt und richtig ist, dürften Systeme mit DSM 5 nicht betroffen sein.
@Joe
Da würde ich jetzt nicht so viel drauf geben…
Der zweite angegebene Verlinkung in der Mail existiert nichtmals! Also schlampiger Support, einfach mal den Kunden beruhigen oder Fake meiner Meinung nach. 🙂
Hi,
also der Screenshot mit Version 5.0 ist Fake.
Den Countdown bekommt man nur auf der „persönlichen Tor-Seite“ angezeigt.
Auf der Diskstation selbst bekommt man nur die Meldung, dass die Dateien verschlüsselt sind.
Ich hatte gerade auch Kontakt mit einem Kollegen bei Synology, laut Ihnen ist die Lücke in Version 5.0 nicht vorhanden, eine offizielle Aussage war das aber nicht, da noch interne Tests laufen.
Gruß Fabian
@Tom: meinst du diese Mail?
From the current investigation, they are still using the old security hole to hack the DiskStation with old DSM:
http://www.synology.com/company/news/article/437
As you are in DSM5.0, this kind of hack can’t work. But it’s also recommended for securing the log on over Internet by this way:
http://www.synology.com/en-global/support/tutorials/478
Bei mir funktionieren beide Links.
Der Virus scheint auch bei der 5er Version möglich zu sein.
Hatte grade einen Kunden in der Leitung der auch betroffen ist, da ich da gleich hinfahre um das alte Backup einzuspielen kann ich heute nacht mehr dazu sagen.
@Easy-IT-Service: Ich behaupte das Gegenteil, aber berichte mal bitte!
@oliver:
Ja die meine ich – habe den Link nur in den Browser abgetippt:
synology.com/en-global/support/tutorials/478
Es kam eine Synology Fehlerseite mit „www.“ vorne klappts aber – da hast du recht!
Gerade mit deinem Link nochmal nachvollzogen… schon komisch. 😀
@Easy-IT-Service: und, was war jetzt mit der Synology?
upps. Habe die Rückmeldung ja total vergessen.
Der Kunde hatte trotz der Info er habe immer alle Updates Installiert noch die 4er Version drauf… folglich kein wunder….