Synology violati da un synoloker

Comunicazioni STAFF
Rispondi
burghy86
Moderatore
Moderatore
Messaggi: 11357
Iscritto il: martedì 11 settembre 2012, 18:59

Synology violati da un synoloker

Messaggio da burghy86 »

UPDATE 1 - 4.8.2014 10.15
I possessori di NAS a marchio Synology, particolarmente diffusi in ambito aziendale, debbono da oggi guardarsi da una importante minaccia: SynoLocker. Si tratta di un nuovo ransomware che modifica i file caricati dal server web in esecuzione sui NAS Synology e visualizza una pagina chiedendo all'utente il versamento di 0,6 Bitcoin, importo equivalente a circa 260 euro. Applicando un cliché simile a quello utilizzato da Cryptolocker in Windows (Difendersi da Cryptolocker e dagli altri ransomware), tutti i file conservati sul NAS Synology vengono automaticamente crittografati da SynoLocker.
L'utente vittima, per poter rimettere le mani sui suoi file, viene invitato a visitare una pagina pubblicata sul cosiddetto "deep web" (vedere l'articolo Scoperto un attacco in grande stile alla rete TOR per saper di che cosa si tratta), accessibile solo installando il client TOR. La pagina viene utilizzata dagli aggressori per la gestione del pagamento in Bitcoin e per fornire la chiave utilizzata per il blocco dei dati sul NAS.

Allo stato attuale non è ancora chiaro se gli autori del ransomware abbiamo sfruttato qualche vulnerabilità insita nei NAS Synology oppure se gli utenti sinora vittime dell'aggressione siano stati indotti ad eseguire codice nocivo.

Il suggerimento, per il momento, è quello di procedere con l'installazione dell'ultima versione del software DSM di Synology, bloccare tutti i servizi del NAS accessibili da remoto e, ove possibile, disconnettere temporaneamente il NAS dalla rete fintanto che non sarà fatta luce su quanto accaduto in queste ore.


fonte:link

forum di discussione inglese: link
forum di discussione tedesco:link
una soluzione postata sul forum:link

Edit: dMajo
Aggiungerei solo che visto che l'ultima patch del DSM4.3 la Update5 e quella del DSM5 la Update3 risolvono essenzialmente la stabilità dell'espansione del volume (sulla DSM5u3 viene anche risolta una vulnerabilità DoS di Samba, attacco che però può esser perpetrato solo da macchine sulla lan interna, visto che nessuno si sognerebbe di render Samba/SMB accessibile dall'esterno) negli aggiornamenti ci si possa anche fermare all'Update4 per DSM4.3 e Update2 per DSM5. In particolare modo per l'update3 di DSM5 sono stati riportati diversi problemi dagli utenti sul forum ufficiale.

la schermata si presenta cosi:
http://attach.mobile01.com/attach/20140 ... 87d229.jpg
il link tor porta a questa pagina:
http://www.hkepc.com/forum/attachments/ ... 28c3b2.jpg

CRONOLOGIA NEWS

UPDATE2
una mail di synology che non risove e non da risposte:

Hello Everyone,

We'd like to give you an update regarding SynoLocker, a randsomware affecting certain Synology servers. When trying to access DSM, it displays the message below, in addition to instructions for paying a fee to unlock your data:
"All important files on this NAS have been encrypted using strong crypotgraphy"
What should you do?

If you are seeing this message when trying to login to DSM, please:
1-power off your DiskStation immediately to avoid more files being encrypted
2-contact our Support team so we can investigate further

If you are in doubt as to whether your DiskStation may be affected, please don't hesitate to contact us at security@synology.com
We will keep you updated in this thread with any information we have to address this issue.

UPDATE 3 - 4.9.14 23.25
synology sul sito del inserimento ticket ha messo un avviso:

Special Notes

SynoLocker Message Issue — If NAS is not infected: First, close all open ports for external access for now. Backup the data on the DiskStation and update DSM to the latest version. Synology will provide further information as soon as possible if you are vulnerable. If NAS is infected, first do not trust (and ignore) any unauthorized, non-Synology messages or emails. Hard shut down the DiskStation to prevent any further issues. Contact Synology support as soon as possible by submitting a form below or email us at security@synology.com. We apologize for any issue this has created, we will keep you updated with latest information as we address this issue.
To avoid misunderstandings, please submit the form in English
UPDATE 4 - 5.8.2014 20:50, PRIMA COMUNICAZIONE UFFICIALE DA SYNOLOGY


http://www.synology.com/en-us/company/news/article/470

a quanto pare la vunerabilità è solo per dsm inferiori alla 4.3-3810, infatti hanno sfruttato una falla che è stata chiusa da synology nel dicembre 2013.
a synology non è pervenuta nessuna segnalazione per il dsm5

per risolvere il problema rimangono le soluzioni scritte nel topic che segue, cioè spegnere al volo il nas prima che finisca la criptazione e collegarlo ad un pc per recuperare i dati non ancora criptati, reinstallare il dsm nuovo.

per diagnosticare se il vostro nas è stato compromesso controllare che nel vostro nas non ci sia in esecuzione Un processo chiamato "synosync" in Monitoraggio risorse.

synology raccomanda di aggiornare il dsm a queste versioni:

chi ha DSM 4.3, deve installare DSM 4.3-3827 or successivo
chi ha DSM 4.1 or DSM 4.2, deve installare DSM 4.2-3243 o successivo
chi ha DSM 4.0, deve installare DSM 4.0-2259 o successivo

si raccomanda sempre di usare porte non standard, password complesse e nessuna porta di troppo.
Rispondi

Torna a “AVVISI DAL FORUM”