Hlavní navigace

SynoLocker: disková pole Synology terčem vyděračů

Jiří Macich ml. 8. 8. 2014

NAS servery značky Synology ohrožuje nový ransomware zvaný SynoLocker. Vyděračský záškodnický program šifrováním blokuje soubory uložené v NAS serveru a požaduje v přepočtu více než 7000 Kč za jejich dešifrování. Která zařízení jsou ohrožená? Jak lze nákazu zavčasu odhalit? Pomůže Synology s dešifrováním?

NAS servery značky Synology vážně ohrožuje nový ransomware, který si říká SynoLocker. Jak název napovídá, šifrováním znepřístupňuje obsah serveru. Následně tento vyděračský záškodnický program požaduje platbu za poskytnutí unikátního klíče pro dešifrování a opětovné zpřístupnění obsahu serveru. Vyděrači zatím neznámého původu nejsou žádní troškaři. Požadují v přepočtu více než 7000 Kč. 

Dle ohlasů na fórech podpory některé oběti útoku uvažují, že výkupné zaplatí. Zablokovaný obsah totiž považují za cennější. „Řada firem má v serveru doslova veškerý svůj byznys. Domácnosti zase tato zařízení využívají k ukládání rodinných fotek a domácích videí, které pro ně mají nevyčíslitelnou citovou hodnotu,“ vysvětluje námi oslovený analytik Jay Smith.

O to překvapivější může být, že takto cenná data nejsou zálohována. „Domácí, ale také firemní uživatelé podléhají falešnému pocitu bezpečí. Nastaví si diskové pole odolné vůči selhání alespoň jednoho disku, což považují za dostatečnou ochranu. Další možné hrozby vůbec nevnímají nebo velmi podceňují,“ tvrdí Jay Smith, který zkoumá útoky na síťová zařízení určená středně velkým firmám.  

SynoLocker se vydává za řešení problému

Na napadených zařízeních se zpráva vyděračů objevuje při pokusu o přístup k webové administraci. Vyděrači pochopitelně chtějí k zaplacení výkupného zmanipulovat co nejvíce obětí, takže SynoLocker se vydává za řešení problému. Ransomware se uživatelům představuje jako „automatická dešifrovací služba“. Jeho tvůrci se zjevně inspirovali praktikami tzv. falešných antivirů.


Autor: Jay Smith

Některé uživatele NAS serverů Synology při pokusu o přístup do webové administrace čeká nepříjemné překvapení.

Ve zprávě vyděračů je pro zvýšení důvěryhodnosti název SynoLocker označen jako obchodní značka. V patičce zprávy vyděračů nechybí copyright. Společnost Synology radí napadené servery tzv. natvrdo vypnout a kontaktovat podporu. Jenže nový ransomware vytváří nátlak k provedení platby co nejdříve. Jinak prý cena stoupne na dvojnásobek.

Synology nedokáže pomoci s dešifrováním souborů, jak firma uvedla ve včerejší tiskové zprávě (tj. ze čtvrtka 7. srpna 2014), kde firma informuje o průběhu vyšetřování nové hrozby. Čekání na dopadení vyděračů a vynucení poskytnutí dešifrovacích klíčů je zřejmě zbytečné, protože vyděrači se poměrně dobře maskují. K zaplacení výkupného slouží tzv. dark-web dostupný přes TOR Browser.

Vyděrači požadují výkupné ve virtuální měně Bitcoin (BTC). Konkrétně 0,6 BTC (aktuálně více než 7000 Kč). Tradiční pátrání po webové či finanční stopě tak není dost dobře možné. Objevily se poměrně zajímavé diskuse, jestli zaplatit, pokud data nejsou zálohovaná a jejich ztráta by znamenala větší újmu než činí výkupné. To se nedoporučuje, ale zoufalí lidé dělají zoufalé činy.


Autor: Jay Smith

Na dark-site chtějí vyděrači zaplatit 0,6 BTC. Po uplynutí stanového termínu pro platbu se výkupné zdvojnásobuje.

Obecně bychom s vyděrači vyjednávat neměli. Jinak podobné útoky budou eskalovat do obludných rozměrů. Na druhou stranu vyděrači mají motivaci dostát slibům. I jedna oběť, která zaplacením výkupného zachrání svá data a podělí se o zkušenost, vydá za sebelepší sociální inženýrství. Otázkou je, nakolik lze podobným příběhům o šťastném konci důvěřovat,“ přemítá analytik Jay Smith.

Probíhající útok prozrazuje přetížený procesor

Zdá se, že útok byl načasován na dobu, kdy by si nikdo neměl všimnout jeho průběhu, nýbrž až později následků. K útoku totiž došlo o víkendu v nočních hodinách. První zprávy o napadení se objevily v neděli 3. srpna 2014. Vyděrači tak zřejmě chtěli využít doby, kdy servery zejména ve firmách obvykle nejsou využívané, takže je menší pravděpodobnost, že si někdo odpovědný všimne podivného chování.

V závislosti na výkonu procesoru konkrétního serveru a velikosti diskového pole SynoLocker potřebuje k zašifrování souborů poměrně dost času, během kterého jeho nekalou činnost prozrazuje přetížení procesoru ovlivňující další běžící služby. Tím na sebe tento ransomware upozorňuje ještě v době, kdy se lze bránit. Načasování útoku na víkendové noční hodiny by proto dávalo smysl.

Někteří majitelé či správci NAS serverů Synology zasažených útokem uvádějí, že k němu v jejich případě nedošlo o posledním víkendu, ale až během týdne. Znamená to, že ohrožení stále trvá. Shodně však uvádějí, že útok byl realizován v nočních hodinách. SynoLocker tak zřejmě opravdu bude navržen jako noční pták. První rady nabádaly k vypínání serverů po skončení pracovní doby (resp. na noc).

Kromě zobrazení zprávy vyděračů při přístupu do webové administrace existují také další symptomy, díky kterým je možné útok zachytit včas a škody minimalizovat. Průvodním jevem probíhajícího útoku je nadměrné zatížení procesoru serveru procesem „synosync“.  SynoLocker se skrývá ve složce „/etc/synolocker“, jejíž existence rovněž může uživatele, resp. správce upozornit na problém.

Infikovaná zařízení dle poznatků veřejnosti ve webové administraci zobrazují nepravdivé informace o nainstalované verzi systému DiskStation Manager (DSM). Případně se nenabízí k instalaci dostupná aktualizace systému. Druhý zmíněný jev potvrdila společnost Synology ve včerejší tiskové zprávě (tj. ze čtvrtka 7. srpna 2014). Vyděrači se zjevně snaží předejít záplatování systému před dokončením útoku.

SynoLocker zneužívá již dříve opravené chyby

SynoLocker je zřejmě příbuzným nechvalně proslulého vyděračského programu CryptoLocker, který se zaměřuje na osobní počítače s majoritní platformou Microsoft Windows. Hrozba byla poprvé popsána v srpnu minulého roku experty z Dell SecureWorks. Letos se objevila varianta napadající Android. SynoLocker útočí na linuxovou distribuci Synology DiskStation Manager (DSM).

Využívá chyby opravené v loňském prosinci. Lubomír Tomány, produktový manažer Synology pro český a slovenský trh, připomíná, že tchajwanský výrobce na vydaný patch upozorňoval odbornou i širší veřejnost několika komunikačními kanály. Patch bylo (je) možné získat poměrně jednoduše prostřednictvím automatické aktualizace a potvrzení instalace připravené aktualizace.

Dnešní oběti doplácejí na to, že svůj NAS server řádně neaktualizují.V domácnostech obvykle uvedením síťového úložiště do provozu veškerá starost o jeho provoz končí. Ve firmách jsou pak často aktualizace odkládány kvůli obavám o kompatibilitu. Zejména tam, kde i profesionálové podceňují důležitost jejich instalace, což je zrovna tento případ,“ říká nezávislý analytik Jay Smith.  


Autor: Jiří Macich ml.

Synology nyní radí aktualizovat rovnou na DSM 5.0.

Společnost Synology zatím explicitně neuvedla, jakým způsobem SynoLocker do jejích NAS serverů proniká. Podle nepotvrzených informací SynoLocker zneužívá službu EZ Internet a porty 5000 a 5001 otevřené pro přístup k internetu např. z mobilních aplikací. „Pokud je to jen trochu možné, doporučuji NAS server odříznout od internetu, dokud Synology nepodá bližší informace“, radí Jay Smith.

Aktuální DSM 5.0 je (doufejme) bezpečný

Šíří se zpráva, že aktuální DSM 5.0 je bezpečný. Synology to však příliš jistým tónem neříká. „V současnosti nevíme o této zranitelnosti v DSM 5.0,“ uvedla Renata Krajewska ve zprávě zaslané médiím v úterý 5. srpna 2014. O dva dny novější tisková zpráva nabádá uživatele, kteří se s problémy setkali pod DSM 5.0, aby se ozvali výrobci prostřednictvím e-mailové adresy security@synology.com.

Stále však platí, že zatím problém nebyl pozorován pod DSM 5.0. V bezpečí by rovněž měly být servery, na kterých běží starší DSM 4.3 build 3827 a vyšší, DSM 4.2 build 3243 a vyšší nebo DSM 4.0 build 2259 a vyšší. Přesto Synology důrazně doporučuje aktualizovat na DSM 5.0. Instalační balíček lze stáhnout zdarma ze sekce Download Center webu tchajwanského výrobce.


Autor: Jiří Macich ml.

Nová hrozba potvrzuje, že automatické aktualizace jsou užitečné i pro zařízení jako je právě NAS server.

Instalaci je možné realizovat z webové administrace NAS serveru. Zde si lze nastavit také automatické zjišťování a stahování aktualizací systému. Server následně může poslat svému majiteli resp. správci e-mailem notifikaci, že stažená aktualizace je připravena k instalaci. Spustit ji lze přes webové administrační rozhraní. Instalace s nezbytným restartem obvykle trvá maximálně deset minut a nevyžaduje asistenci.

Anketa

Spravujete NAS server od Synology?

Našli jste v článku chybu?

8. 8. 2014 8:27

Pokud to diskové úložiště se zrcadlenými disky chci používat pro zálohování, nemělo by být dostupné z internetu a mělo by se jen podle časového plánu automaticky zapnout, provést zálohování a zase se vypnout. Ale stejně je potřeba počítat s tím, že je to záloha pro případ smazání dat z PC nebo havárie disku v PC, ale neřeší to věci, které postihnou celou lokalitu (úder blesku a poškození elektroniky, povodeň, vykradení…).

8. 8. 2014 9:41

Lol Phirae (neregistrovaný)

Nebot u kazdeho updatu se v readme doctete, ze updatem muzete prijit o vsechna data na zarizeni a ze si je proto mate vyzalohovat nekam jinam.

Ano, to se "překvapivě" píše u skoro každého výrobce. Hádej proč.

Z meho pohledu je to jediny duvod, proc updaty nedelam, proste v domacich podmikach nemam kam ty data vykopirovat...

Každý svého štěstí strůjcem...

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?