Ransomware: Cyberkriminelle attackieren NAS-Geräte von Synology

Data & StorageSicherheitStorage
Android-Variante der Erpresser-Malware Cryptolocker ist aufgetaucht.

Auf den infizierten Systemen erscheint ein durch die Erpresser platzierter Hinweis, dass sämtliche Daten des NAS-Systems verschlüsselt sind. Für deren Entsperrung fordern die Cyberkriminellen rund 270 Euro. Laut Hersteller sind von dem Angriff nur Systeme betroffen, die eine Firmware älter als Version DSM 4.3.-38100 verwenden.

Mittels der als Synolocker bezeichneten Ransomware chiffrieren Cyberkriminelle Daten auf NAS-Systemen des taiwanischen Herstellers Synology. Für das Entschlüsseln der Informationen fordern sie von betroffenen Anwendern 0,6 Bitcoins, was aktuell einer Summe von rund 270 Euro entspricht. Wer der Aufforderung innerhalb von sieben Tagen nicht nachkommt, soll das Doppelte zahlen, um wieder an seine Daten zu gelangen.

synology-nas-ds414slim

Auf infizierten NAS-Systemen erscheint beim Zugriff auf den Disk Station Manager (DSM) dabei folgende Meldung: “All important files on this NAS have been encrypted using strong cryptography“ (“Alle wichtigen Dateien auf diesem NAS wurden mit starker Kryptographie verschlüsselt”). Darin enthalten sind außerdem Zahlungsanweisungen einer Gebühr, nach deren Entrichtung die Daten entschlüsselt werden sollen. Für die Anonymisierung des Bezahlvorgangs verwenden die Cyberkriminellen das TOR-Netzwerk.

Laut Synology sind von der Attacke nur NAS-Systeme betroffen, die eine Firmware älter als Version DSB 4.3.-38100 einsetzen. Wie der Hersteller in einer Stellungnahme mitteilt, gelangt die Malware über eine Sicherheitslücke, die er im Dezember 2013 geschlossen hatte, auf das System: “Basierend auf unseren aktuellen Informationen betrifft dieses Problem lediglich Synology NAS-Server, die auf einzelnen älteren DSM-Versionen (DSM 4.3-3810 oder älter) laufen. Bei den betroffenen Versionen wird eine Sicherheitslücke ausgenutzt, welche bereits im Dezember 2013 behoben wurde. Derzeit sind uns keine Fälle mit DSM 5.0 bekannt.”

Zunächst war noch unklar, wie die Schadsoftware auf das NAS-System gelangen konnte. So wurde zu Beginn eine Schwachstelle innerhalb der Geräte-Firmware vermutet. Synology hatte diese Anfälligkeit im Februar eigentlich beseitigt. Allerdings ging dessen Support davon aus, dass womöglich noch nicht alle Anwender ihr System aktualisiert hätten, sodass die Cyberkriminellen diese Lücke ausnutzen konnten. Die Informationen stammten dabei aus dem Tweet eines betroffenen Nutzers. Synology hat seine Kunden per E-Mail über die Attacke informiert und empfiehlt, die NAS-Systeme vom Internet zu trennen und sich an den Support zu wenden.

Ransomware ist bislang primär durch Schadsoftware wie Cryptolocker und entsprechenden Nachahmern auf PC-Systemen präsent. Anfang Mai hatte ein Sicherheitsforscher von einer Variante der Ransomware Cryptolocker für Android berichtet. Demzufolge wird sie in Form einer schädlichen APK-Datei über Pornografie-Websites verteilt. Der Download der Datei wird zwar automatisch angestoßen, der Nutzer muss der Installation im Anschluss allerdings noch zustimmen. Der als Koler.A bezeichnete Schädling sperrt anschließend den Home-Screen. Dateien kann er zwar nicht verschlüsseln, dafür existieren aber Varianten für Nutzer in mehr als 30 Ländern, darunter auch Deutschland. Kurios war, dass die erpresserische Malware im Herbst 2013 aufgrund des Bitcoin-Kursanstiegs die in dieser Währung geforderten Preise senken musste.

[Mit Material von Kai Schmerer, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen