SynoLocker: disková pole Synology terčem vyděračů

8. 8. 2014
Doba čtení: 6 minut

Sdílet

NAS servery značky Synology ohrožuje nový ransomware zvaný SynoLocker. Vyděračský záškodnický program šifrováním blokuje soubory uložené v NAS serveru a požaduje v přepočtu více než 7000 Kč za jejich dešifrování. Která zařízení jsou ohrožená? Jak lze nákazu zavčasu odhalit? Pomůže Synology s dešifrováním?

NAS servery značky Synology vážně ohrožuje nový ransomware, který si říká SynoLocker. Jak název napovídá, šifrováním znepřístupňuje obsah serveru. Následně tento vyděračský záškodnický program požaduje platbu za poskytnutí unikátního klíče pro dešifrování a opětovné zpřístupnění obsahu serveru. Vyděrači zatím neznámého původu nejsou žádní troškaři. Požadují v přepočtu více než 7000 Kč. 

Dle ohlasů na fórech podpory některé oběti útoku uvažují, že výkupné zaplatí. Zablokovaný obsah totiž považují za cennější. „Řada firem má v serveru doslova veškerý svůj byznys. Domácnosti zase tato zařízení využívají k ukládání rodinných fotek a domácích videí, které pro ně mají nevyčíslitelnou citovou hodnotu,“ vysvětluje námi oslovený analytik Jay Smith.

O to překvapivější může být, že takto cenná data nejsou zálohována. „Domácí, ale také firemní uživatelé podléhají falešnému pocitu bezpečí. Nastaví si diskové pole odolné vůči selhání alespoň jednoho disku, což považují za dostatečnou ochranu. Další možné hrozby vůbec nevnímají nebo velmi podceňují,“ tvrdí Jay Smith, který zkoumá útoky na síťová zařízení určená středně velkým firmám.  

SynoLocker se vydává za řešení problému

Na napadených zařízeních se zpráva vyděračů objevuje při pokusu o přístup k webové administraci. Vyděrači pochopitelně chtějí k zaplacení výkupného zmanipulovat co nejvíce obětí, takže SynoLocker se vydává za řešení problému. Ransomware se uživatelům představuje jako „automatická dešifrovací služba“. Jeho tvůrci se zjevně inspirovali praktikami tzv. falešných antivirů.


Autor: Jay Smith

Některé uživatele NAS serverů Synology při pokusu o přístup do webové administrace čeká nepříjemné překvapení.

Ve zprávě vyděračů je pro zvýšení důvěryhodnosti název SynoLocker označen jako obchodní značka. V patičce zprávy vyděračů nechybí copyright. Společnost Synology radí napadené servery tzv. natvrdo vypnout a kontaktovat podporu. Jenže nový ransomware vytváří nátlak k provedení platby co nejdříve. Jinak prý cena stoupne na dvojnásobek.

Synology nedokáže pomoci s dešifrováním souborů, jak firma uvedla ve včerejší tiskové zprávě (tj. ze čtvrtka 7. srpna 2014), kde firma informuje o průběhu vyšetřování nové hrozby. Čekání na dopadení vyděračů a vynucení poskytnutí dešifrovacích klíčů je zřejmě zbytečné, protože vyděrači se poměrně dobře maskují. K zaplacení výkupného slouží tzv. dark-web dostupný přes TOR Browser.

Vyděrači požadují výkupné ve virtuální měně Bitcoin (BTC). Konkrétně 0,6 BTC (aktuálně více než 7000 Kč). Tradiční pátrání po webové či finanční stopě tak není dost dobře možné. Objevily se poměrně zajímavé diskuse, jestli zaplatit, pokud data nejsou zálohovaná a jejich ztráta by znamenala větší újmu než činí výkupné. To se nedoporučuje, ale zoufalí lidé dělají zoufalé činy.


Autor: Jay Smith

Na dark-site chtějí vyděrači zaplatit 0,6 BTC. Po uplynutí stanového termínu pro platbu se výkupné zdvojnásobuje.

Obecně bychom s vyděrači vyjednávat neměli. Jinak podobné útoky budou eskalovat do obludných rozměrů. Na druhou stranu vyděrači mají motivaci dostát slibům. I jedna oběť, která zaplacením výkupného zachrání svá data a podělí se o zkušenost, vydá za sebelepší sociální inženýrství. Otázkou je, nakolik lze podobným příběhům o šťastném konci důvěřovat,“ přemítá analytik Jay Smith.

Probíhající útok prozrazuje přetížený procesor

Zdá se, že útok byl načasován na dobu, kdy by si nikdo neměl všimnout jeho průběhu, nýbrž až později následků. K útoku totiž došlo o víkendu v nočních hodinách. První zprávy o napadení se objevily v neděli 3. srpna 2014. Vyděrači tak zřejmě chtěli využít doby, kdy servery zejména ve firmách obvykle nejsou využívané, takže je menší pravděpodobnost, že si někdo odpovědný všimne podivného chování.

V závislosti na výkonu procesoru konkrétního serveru a velikosti diskového pole SynoLocker potřebuje k zašifrování souborů poměrně dost času, během kterého jeho nekalou činnost prozrazuje přetížení procesoru ovlivňující další běžící služby. Tím na sebe tento ransomware upozorňuje ještě v době, kdy se lze bránit. Načasování útoku na víkendové noční hodiny by proto dávalo smysl.

Někteří majitelé či správci NAS serverů Synology zasažených útokem uvádějí, že k němu v jejich případě nedošlo o posledním víkendu, ale až během týdne. Znamená to, že ohrožení stále trvá. Shodně však uvádějí, že útok byl realizován v nočních hodinách. SynoLocker tak zřejmě opravdu bude navržen jako noční pták. První rady nabádaly k vypínání serverů po skončení pracovní doby (resp. na noc).

Kromě zobrazení zprávy vyděračů při přístupu do webové administrace existují také další symptomy, díky kterým je možné útok zachytit včas a škody minimalizovat. Průvodním jevem probíhajícího útoku je nadměrné zatížení procesoru serveru procesem „synosync“.  SynoLocker se skrývá ve složce „/etc/synolocker“, jejíž existence rovněž může uživatele, resp. správce upozornit na problém.

Infikovaná zařízení dle poznatků veřejnosti ve webové administraci zobrazují nepravdivé informace o nainstalované verzi systému DiskStation Manager (DSM). Případně se nenabízí k instalaci dostupná aktualizace systému. Druhý zmíněný jev potvrdila společnost Synology ve včerejší tiskové zprávě (tj. ze čtvrtka 7. srpna 2014). Vyděrači se zjevně snaží předejít záplatování systému před dokončením útoku.

SynoLocker zneužívá již dříve opravené chyby

SynoLocker je zřejmě příbuzným nechvalně proslulého vyděračského programu CryptoLocker, který se zaměřuje na osobní počítače s majoritní platformou Microsoft Windows. Hrozba byla poprvé popsána v srpnu minulého roku experty z Dell SecureWorks. Letos se objevila varianta napadající Android. SynoLocker útočí na linuxovou distribuci Synology DiskStation Manager (DSM).

Využívá chyby opravené v loňském prosinci. Lubomír Tomány, produktový manažer Synology pro český a slovenský trh, připomíná, že tchajwanský výrobce na vydaný patch upozorňoval odbornou i širší veřejnost několika komunikačními kanály. Patch bylo (je) možné získat poměrně jednoduše prostřednictvím automatické aktualizace a potvrzení instalace připravené aktualizace.

Dnešní oběti doplácejí na to, že svůj NAS server řádně neaktualizují.V domácnostech obvykle uvedením síťového úložiště do provozu veškerá starost o jeho provoz končí. Ve firmách jsou pak často aktualizace odkládány kvůli obavám o kompatibilitu. Zejména tam, kde i profesionálové podceňují důležitost jejich instalace, což je zrovna tento případ,“ říká nezávislý analytik Jay Smith.  


Autor: Jiří Macich ml.

Synology nyní radí aktualizovat rovnou na DSM 5.0.

Společnost Synology zatím explicitně neuvedla, jakým způsobem SynoLocker do jejích NAS serverů proniká. Podle nepotvrzených informací SynoLocker zneužívá službu EZ Internet a porty 5000 a 5001 otevřené pro přístup k internetu např. z mobilních aplikací. „Pokud je to jen trochu možné, doporučuji NAS server odříznout od internetu, dokud Synology nepodá bližší informace“, radí Jay Smith.

Aktuální DSM 5.0 je (doufejme) bezpečný

Šíří se zpráva, že aktuální DSM 5.0 je bezpečný. Synology to však příliš jistým tónem neříká. „V současnosti nevíme o této zranitelnosti v DSM 5.0,“ uvedla Renata Krajewska ve zprávě zaslané médiím v úterý 5. srpna 2014. O dva dny novější tisková zpráva nabádá uživatele, kteří se s problémy setkali pod DSM 5.0, aby se ozvali výrobci prostřednictvím e-mailové adresy security@synology.com.

ict ve školství 24

Stále však platí, že zatím problém nebyl pozorován pod DSM 5.0. V bezpečí by rovněž měly být servery, na kterých běží starší DSM 4.3 build 3827 a vyšší, DSM 4.2 build 3243 a vyšší nebo DSM 4.0 build 2259 a vyšší. Přesto Synology důrazně doporučuje aktualizovat na DSM 5.0. Instalační balíček lze stáhnout zdarma ze sekce Download Center webu tchajwanského výrobce.


Autor: Jiří Macich ml.

Nová hrozba potvrzuje, že automatické aktualizace jsou užitečné i pro zařízení jako je právě NAS server.

Instalaci je možné realizovat z webové administrace NAS serveru. Zde si lze nastavit také automatické zjišťování a stahování aktualizací systému. Server následně může poslat svému majiteli resp. správci e-mailem notifikaci, že stažená aktualizace je připravena k instalaci. Spustit ji lze přes webové administrační rozhraní. Instalace s nezbytným restartem obvykle trvá maximálně deset minut a nevyžaduje asistenci.

Spravujete NAS server od Synology?

Autor článku

Autor je nezávislý novinář a publicista věnující se informatice, elektronice a telekomunikacím. V těchto oborech i podniká, přičemž mezi open source projekty nachází atraktivní řešení pro své zákazníky. Pro Root.cz pravidelně píše od roku 2012.