Security: Ransomware übernimmt NAS von Synology
Mit einer sogenannten Ransomware erpressen Unbekannte Besitzer eines NAS-Systems von Synology. Sie installieren einen Trojaner, der sämtliche Dateien auf dem NAS verschlüsselt. Gegen die Zahlung von 0,6 Bitcoin – umgerechnet etwa 270 Euro – sollen die Opfer ihre Daten wieder freikaufen können. Um zusätzlichen Druck auszuüben, setzen die Täter eine Frist von sieben Tagen. Danach soll sich die geforderte Summe verdoppeln. Noch ist die Lücke, über die die Täter die Malware einschleusen, nicht bekannt.
Wie die Ransomware auf die NAS-Systeme gelangt, ist derzeit unklar. Möglicherweise handelt es sich um eine Sicherheitslücke in der Firmware der NAS-Systeme. Nach der Entdeckung des Heartbleed-Fehlers in Openssh hatte Synology ein Update veröffentlicht, das aber einige Systeme lahmlegte. Synology arbeite mit Hochdruck an der Lösung des Problems, heißt es aus dem Unternehmen(öffnet im neuen Fenster) . Um sich gegen den Angriff zu wehren, sollten Nutzer ihre Systeme vom Internet trennen und ein Backup aller darauf befindlichen Daten vornehmen. Außerdem sollten Anwender möglichst bald auf eine aktuelle Version der Firmware umsteigen. Nach Berichten im Synology-Forum ist aber auch DSM 5 angreifbar.
Von einer Zahlung der geforderten Summe raten Strafverfolgungsbehörden ab. Zum einen gibt es keine Garantie, dass die Daten danach tatsächlich wieder freigegeben werden. Zum anderen sammeln die Täter die Namen williger Opfer, um sie nach Möglichkeit ein zweites Mal zu erpressen.
Die Malware Synolocker(öffnet im neuen Fenster) basiert auf Cryptolocker , die auch unter Windows verwendet wird. Sie wird stetig weiterentwickelt und gilt gegenwärtig als nicht knackbar. Nachdem sich die Ransomware auf dem System eingenistet hat, verschlüsselt sie sämtliche dort befindlichen Daten. Anschließend erscheint eine Mitteilung im Administrationsbereich, die technische Details der Malware erläutert und damit dem Opfer zu verstehen gibt, dass die Daten im Falle einer Nichtzahlung unwiederbringlich verloren sind(öffnet im neuen Fenster) .
Nachtrag vom 5. August 2014, 13:00 Uhr
Gegenwärtig geht Synology davon aus(öffnet im neuen Fenster) , dass nur DSM 4,x vom Befall der Ransomware betroffen ist. Der Trojaner nutzt dabei wohl eine Sicherheitslücke aus, die Synology bereits im Februar 2014 behoben hatte. Auf einer entsprechend datierten Webseite(öffnet im neuen Fenster) stehen die Versionsnummern der Updates, die im Download-Center erhältlich sind. DSM 5.0 sei nicht betroffen, so das Unternehmen, und verlinkt auf eine weitere Webseite(öffnet im neuen Fenster) , in der die sichere Abschottung eines Systems beschrieben wird.