Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM

[Synchrotron]

Zum wie geht es weiter:

Die DS hält alle Daten auf einem Laufwerk. Das heißt sind die Laufwerke draußen, ist keine Schadsoftware mehr auf der DS.

Aber steckt man die Laufwerke (falls infiziert) in eine andere DS (oder eventuell einen Linux-Host) kann es wieder losgehen.

Sitzt andererseits der Angreifer woanders (PC wäre mein erster Verdacht), musst du ihn „nur“ neu aufsetzen (zumindest meistens …).

Am besten Datenträger vor jeder Analyse erst mal vom Netz getrennt „bare Metal“ duplizieren, damit eine Kopie der Daten vorhanden ist. Bei HDDs macht das am besten eine Datenstation. Einen PC mit einem Recovery-Stick starten, dann die Kopie ziehen.

Danach über die Logs schauen, ob sich etwas feststellen lässt. PC möglichst nur im abgesicherten Modus starten.

Insgesamt lässt sich schon mal sagen, dass mit den vielen offenen Ports auch viel Angriffsfläche da war.

Zu den Usern und Passwörtern hast du schon etwas gesagt. War die Firewall der DS aufgesetzt und scharf eingestellt ?

 

[stevenfreiburg]

Nochmal: Ich war genau die Tage, an denen die Schadsoftware startete gar nicht am PC, zusätzlich ist auf meinem PC keine einzige Datei verschlüsselt.
Wie gesagt, ich bin seit Monaten im Ausland und die einzige Schnittstelle PC <-> NAS ist Syncthing.

Die Möglichkeit, dass es über den PC begann, halte ich daher für am unwahrscheinlichsten, hingegen PHP scripte als Übeltäter am wahrscheinlichsten.
Ich erinnere heute, dass ich im August über tausend Aufrufe aus allen möglichen Ländern bei einem shortlink von YOURLS hatte. Ein shortlink den ich nur einer Handvoll Leuten privat gemailt hatte. Das war auffällig.
Aktuell denke ich, verdammter Mist, wieso bin ich nicht misstrauisch geworden?


Frage dazu:
Wenn es ein PHP Script ist, kann ich das irgendwie schnell rausfinden und evtl. einfach abschalten? (z.B. php deaktivieren? Webserver deaktivieren, ?)

 

[geimist]

Mal so aus Neugier: Welchem Besitzer gehören denn die verschlüsselten Dateien?

 

[stevenfreiburg]

Gute Frage, Danke.
Ab nächsten Donnerstag werde ich das wissen.

 

[4lex]

Eine Frage nicht ganz zum Thema, bin ein Neuling. Wenn ich mich per ssh in Synology einklinke und ls -l ausführe dann haben alle meine Dateien diese Zugriffsrechte rwxrwxrwx+, ist es bei euch anders?

 

[metalworker]

Wenn es so gar nicht zum Thema passt , dann mach doch bitte einen eigenen Thread auf

 

[Benares]

Das + sagt aus, dass noch weitere Rechte über Windows-ACLs existieren. ls sieht nur die Unix-Rechte.

 

[stevenfreiburg]

Monate später....
ich habe nun endlich das Gerät wieder in den Händen.... (ich lebe meistens im Ausland)




ALLE Daten meiner Synology wurden mit
LockBit 3 Black/CriptomanGizmo
verschlüsselt.
Es gibt aktuell KEIN Entschlüsselungstool und ich werde die Erpresser nicht bezahlen.
Trotzdem habe ich die verschlüsselten Daten kopiert, vielleicht gibt es irgendwann eine Möglichkeit?

(Fast) alle Daten waren mehrfach in Backups gesichert.
Der Schaden ist trotzdem erheblich, denn das alles kostete viel Zeit und war sehr nervig.

Eine kurze Recherche im Internet brachte schnell das Ergebnis, dass dies kein Einzelfall darstellt. Synology und andere NAS Geräte werden gezielt angegriffen. Oft ist von Brute-Force Angriffen die Rede.
Bei mir war Zeitsperre nach fehlerhaften login Versuchen aktiviert - wie ein Brute-Force Angriff trotzdem reinkommen kann, eigentlich nicht nachvollziehbar.

Die von Synology neu eingeführten "immutable" Funktionen zeigen, dass Synology das Thema ransomware (fehlerhafte Schreibweise im Titel leider nicht mehr editierbar) und der Bedarf nach Wiederherstellung und Schadensbegrenzung sehr bewußt ist, denn ansonsten würden sie die neuen "WORM" Funktionen kaum implementieren.
Die ausgerechnet "WORM" (write once - read many) zu nennen, das ist schon ziemlich übel doppeldeutig,


Wie ist die Schadsoftware bei mir reingekommen?
Einfallstor war ganz sicher weder meine AVM/Fritzbox oder mein PC, denn beide Geräte sind/waren sauber, wie auch alle anderen angeschlossenen Geräte. Nur das Synology NAS war betroffen.
"admin" meiner Syno war nicht zugänglich, mein Passwort enthielt GROß/klein/Zahlen/Sonderzeichen - alles kunterbunt durcheinander, Firewall aktiv,
2FA hatte ich allerdings nicht aktiviert. PHP Scripte könnten Einfallstor gewesen sein, denn Webserver war aktiviert plus PHP ("yourls" z.B.).
Dazu muss ich allerdings bemerken, das dieselben Scripte (und mehr) auch auf einem einfachen 1blu account von mir laufen aber nie von Angriffen betroffen waren.
Mir fehlt Fachwissen und auch Motivation nach weiteren Ursachen zu forschen.


Mein Fazit:
Mein Vertrauen in Synology als Datenspeicher und bequemer Webserver für den Heimgebrauch (Domain, Photos, Chat, Notes, Musik & Videos, Filesharing etc.) ist leider hinüber.
Denn wenn ich es nicht richtig hinbekomme meine Synology gegen Angriffe abzusichern, dann ist das ganze Thema NAS für mich unbrauchbar.
Das ist wirklich schade und auch frustrierend.
Als große Festplatte ist die 720+ viel zu teuer, ich frage mich daher grade, wofür ich das Gerät eigentlich noch einsetzen mag?

 

[dil88]

Heftig! Danke für den ausführlichen Bericht! Könntest Du bitte noch schreiben, welche DSM-Version im Einsatz war und welche Ports auf die DS weitergeleitet wurden? Die Firewall-Konfiguration im DSM wäre noch interessant aus meiner Sicht, aber ich will Dich nicht überfrachten.

Edit: Port 5001 und 443 habe ich inzwischen aus dem Thread entnehmen können, aber vielleicht könntest Du das nochmal genauer schreiben.

 

[metalworker]

naja Webserver mit Scripten auf nem NAS ins Internet freigegeben , das könnte schon eine ursache sein.

Hast mal die Logs in der Synology geprüft?

Für uns ist es sehr Interessant zu wissen wie es genau passiert ist.
Auch wenn für dich das Thema durch ist wäre es echt nett von dir das zu schauen und heraus zu bekommen.


Um heraus zu bekommen , lag es an nem Fehler bei Synology , oder eine fehl Konfiguration die das teil Angreifbar gemacht hat.
Dabei gehts uns nicht darum dich als schuldigen zu ermitteln sondern nur unserer Geräte sicherere zu machen,

 

[Puppetmaster]

ALLE Daten meiner Synology wurden mit
LockBit 3 Black/CriptomanGizmo
verschlüsselt.
Es gibt aktuell KEIN Entschlüsselungstool und ich werde die Erpresser nicht bezahlen.
Trotzdem habe ich die verschlüsselten Daten kopiert, vielleicht gibt es irgendwann eine Möglichkeit?

Hattest du nicht geschrieben, dass zwar alle Daten verschlüsselt wurden aber die Originale nicht gelöscht wurden, also noch vorlagen?
Welchen Datenverlust hast du also erlitten?

Mein Fazit:
Mein Vertrauen in Synology als Datenspeicher und bequemer Webserver für den Heimgebrauch (Domain, Photos, Chat, Notes, Musik & Videos, Filesharing etc.) ist leider hinüber.
Denn wenn ich es nicht richtig hinbekomme meine Synology gegen Angriffe abzusichern, dann ist das ganze Thema NAS für mich unbrauchbar.
Das ist wirklich schade und auch frustrierend.
Als große Festplatte ist die 720+ viel zu teuer, ich frage mich daher grade, wofür ich das Gerät eigentlich noch einsetzen mag?

Nun ja, grundsätzlich sind all diese Dienste mit einer Synology möglich und auch für einen einfachen Anwender in den Griff zu bekommen. Was man aber doch bitte verstehen sollte ist, dass man vielleicht nicht alle Dienste parallel auf ein und demselben Gerät betreibt. Insbesondere, wenn es um sensible Daten geht.

Eine Photostation oder einen Webserver aufsetzen ist gut und schön, aber vielleicht sollte man dazu in eine DMZ (wurde schon geschrieben) wechseln und seinen Fileserver woanders, logisch und physisch getrennt, aufstellen. Mag sein, dass man dann mehr als ein Gerät benötigt. Aber das ist halt so bei eierlegenden Wollmilchsäuen: sie können zwar alles, nur stehen sich die einzelnen Dienste dann mitunter im Weg.
Ganz triviales Beispiel: Synology wirbt ja immer noch mit einem Standby der Festplatten (wohl wegen Energieeffizienz). Das steht natürlich im krassen Gegensatz zu Diensten, die erfordern, dass die Platten durchgehend laufen. Will heißen: alles zusammen geht oft nicht oder ist mindestans aus anderen Sichten, wie z.B. Datensicherheit, ein Widerspruch.

 

[ComputerNope]

Mir fehlt Fachwissen

Ich denke, da liegt bei vielen das Problem, wenn das Gerät online gestellt wird. Ich nehme mich da auch nicht aus und lese hier immer, was ich noch mitnehmen kann, um die Synology sicherer zu machen.
Bis zuletzt hatte ich meine Synology auch mit Port 5001 im Netz, nichts passiert. Aber wenn einer mal weiß, dass der Port 5001 offen ist, dann kann er sich da dran hängen. Und derjenige hat bestimmt Ahnung. Also habe ich alles auf Reverse-Proxy geändert. Funktioniert auch, aber Sicherheit ist wieder besser geworden, nehme ich an

Cloud-Dienste will ich nicht nutzen, man liest zu häufig, dass Daten abhanden gekommen sind.

 

[NSFH]

Kenne diese Geschichten, wo trotz aktivierter Firewall ein Angriff erfolgreich war.
Bei genauem Hinsehen stellte sich dann raus, dass zwar Regeln in der Firewall standen aber ganz Anfang per wildcard alles freigegeben war.
Daher sind Aussagen wie: "Ich habe die Firewall aktiviert" solange nichtssagend, solange man das Regelwerk nicht einsehen konnte!
Ich verwette Haus und Hof, dass hier kein Synology Versagen vorliegt sondern das Problem jemseits der Tastatur liegt!

 

[Ronny1978]

Ich muss hier leider @ComputerNope und @NSFH zustimmen. Synology ist ein super System und auch für unerfahrene Nutzer leicht zu handeln. Ich würde hier nicht die Schuld bei Synology suchen, sondern - @Puppetmaster -> tut mir leid - beim Anwender. A und O bei der SICHEREN Einrichtung, WENN DIENSTE nach außen geöffnet werden, ist eine Kenntnis von den Gefahren. Hier gibt es seitens Synology viele Hilfsmittel, aber Kenntnisse werden unbedingt vorausgesetzt, um Gefahren zu erkennen:

- komplizierte Passwörter -> hattest du
- Admin + GAST Konto DEAKTIVIEREN -> hattest du
- Firewall KORREKT einstellen, auch ggf. mit Geolokalisierung
- 2AF mittels Yubikey oder zumindest QR Code für ALLE Benutzer!!! -> für ADMINS ZWINGEND
- Ports ALLE abändern
- nur Dienst nach außen öffnen, die zwingend nach außen offen sein müssen
- Reverse Proxy verwenden, um SSL zu ermöglichen
- diese nach außen offenen Dienst zusätzlich absichern!!! -> zum Beispiel mit Authelia, Cloudflare oder anderen Diensten, die eine Benutzeraktion (Passwort, 2FA, usw.) erfordern

Das sind sicherlich nur Beispiele. Auch mein Kenntnislevel ist noch nicht dort, wo es sein sollte. Aber will man Dienste außerhalb des heimischen Sofas nutzen, sind bedeutend tiefere Kenntnisse gefordert (wie über Passwortabsicherung, 2FA, VPN, Firewall - die von Synology oder auch Unifi/OpnSense/pfSense). Und Synology leistet, auch wenn ich mit der Preis- und Produktpolitik mittlerweile nicht mehr ganz einverstanden bin, gute Arbeit. System ist stabil und Sicherheitslücken werden schnell behoben. QNAP ist da - meiner Meinung nach - nicht besser bzw. sogar schlechter.

Die Situation im WWW ist nun mal, wie sie ist und das nicht erst seit diesem Jahr. Also Weiterbildung (privat oder kommerziell) ist die Devise.

 

[Puppetmaster]

Synology ist ein super System und auch für unerfahrene Nutzer leicht zu handeln. Ich würde hier nicht die Schuld bei Synology suchen, sondern - @Puppetmaster -> tut mir leid - beim Anwender.

Vielleicht habe ich mich missverständlich ausgedrückt. Von "Schuld" habe ich ohnehin nicht gesprochen.
Es gibt einfach Szenarien, die die Sicherheit stark beeinträchtigen und einfach nicht so ohne weiteres kombiniert gehören. Natürlich kannst du, wenn du Experte bist, an all die Abhängigkeiten und Gefahren denken und entsprechende Vorsichtsmaßnahmen treffen. Dies wird aber niemals so sicher sein wie eine strikte Trennung von Dingen, die nicht zusammen laufen sollten.
Wenn der Anwender dies alles beherrscht, dann frage ich mich, weshalb selbst Firmen, die viel Aufwand und Know-How betreiben, um ihr System sauber und sicher zu halten, immer wieder Ziel eines erfolgreichen Angriffs sein können.

Ziel ist einfach, die möglichen Angriffsvektoren zu reduzieren, was du durch eine Trennung von Diensten definitiv erreichst.
Am Beispiel hier wären mit hoher Wahrscheinlichkeit keine Dateien ausserhalb des Webservers verschlüsselt worden, wenn der Webserver auf einer anderen Maschine gelaufen wäre als der Fileserver. Wenn du aber erst einmal auf dem System bist (und Lücken gibt es IMMER!), dann kommst du auch relativ schnell weiter.

 

[stevenfreiburg]

....aber vielleicht könntest Du das nochmal genauer schreiben.

Gerne!

DSM 7.1.1-42962 Update 5
abgeschaltet wurde meine Syno 720+ übrigens am 17.8.2023, direkt nach der Verseuchung

Fritzbox:


Ein Beispiel: Jemand kauft ein Auto und hat direkt einen Motorschaden. Im einem Forum kriegt er dann zu hören "ist doch völlig klar, du hast ja auch das Motoröl vom Hersteller nicht direkt gewechselt, das weiß man doch!".
Dieses Beispiel um zu erklären, wie ich zu den Bemerkungen stehe, dass die von Synology eingestellten Ports 5001 & 5000 "unsicher" seien, "man" dies wissen sollte um eine Synology sicher betreiben zu können.
Ich bin der Meinung, dass so etwas zu wissen nicht notwendig sein sollte.


Zur Frage nach meinem "tatsächlichen" Schaden:
Alle Dateien (Fotos/Videos/Musik/PDFs/etc.) wurden verschlüsselt, Notizen in "Notes" sind noch vorhanden.
95 Prozent aller Dateien habe ich in Backups, daher zum Glück wenig Datenverlust.
Aber viel Nerv & Zeitaufwand!
Zusätzlich wurden einige "Ablagearchive" vernichtet mit Dateien, die ich auf die Synology ausgelagert hatte. Platzfresser, ich die weder auf dem Rechner noch in meinen Backups haben wollte. Die sind jetzt endgültig weg.
Leider sind auf Synology Photo einige shared Verzeichnisse mit mühsam zusammengesammelten Fotos von Freunden aus Jugendtagen vernichtet bzw. verschlüsselt worden, die noch nicht in Backups gesichert waren. Dumm gelaufen!


Wenn jemand mit viel Erfahrung hier aus dem Forum mal auf meine 720+ Synology mit der Ransomware und den verschlüsselten Daten draufschauen möchte, ich würde das unterstützen. Das sollte in den nächsten Wochen passieren und nach einem kurzem persönlichen Hallo, z.B. via Skype. Einfach PN senden um das wer, wie und wann abzuklären.

 

[alexhell]

Dieses Beispiel um zu erklären, wie ich zu den Bemerkungen stehe, dass die von Synology eingestellten Ports 5001 & 5000 "unsicher" seien, "man" dies wissen sollte um eine Synology sicher betreiben zu können.
Ich bin der Meinung, dass so etwas zu wissen nicht notwendig sein sollte.

Das sehe ich anders.... Wenn du etwas von außen erreichbar machst, dann solltest du wissen was du tust. Das wäre das gleiche, wenn du als Windows Nutzer jeder Exe Datei runterlädst und ausführst die du im Internet findest, weil man muss nicht wissen, dass es Viren/Trojaner/Malware gibt. Windows sollte dich davor schon schützen.
Wenn man nicht genau weiß was man da tut oder wie das Risiko ist, dann sollte man die NAS nicht von außen erreichbar machen.

Edit: Wenn ich die ganzen offenen Ports sehe wird mir ganz anders....

 

[Monacum]

Ich bin der Meinung, dass so etwas zu wissen nicht notwendig sein sollte.

Das ist aus meiner Sicht das große Problem an diesem Faden. Es ist sehr viel Meinung von dir enthalten, aber wirklich schlauer sind wir nicht bisher. Denn am Anfang warst du dir sehr sicher, dass es eigentlich nur die FRITZ!Box gewesen sein kann, jetzt bist du dir sehr sicher, dass es eigentlich nur die Disk Station gewesen sein kann Ich versuche mir gerne, in solchen Angelegenheiten ein eigenes Bild zu machen, weil ich mein System so sicher wie möglich nutzen möchte, aber das fällt mir bei den Informationen hier irgendwie ein bisschen schwer.

Und wenn du schreibst, dass du auf manche wichtigen Daten aus Jugendzeit nicht mehr zugreifen kannst, dann hast du die wichtigste Regel nicht vollständig beachtet, dass man für seine Daten immer auch irgendwo noch mindestens ein Back-up anlegen sollte, eigentlich aber sogar noch mehr und am besten auf mehrere unterschiedliche Art und Weisen. Ein Back-up zu haben, ist aber eine Binsenweisheit, das steht auch nicht überall explizit geschrieben, ein bisschen sich selbst zu informieren, gehört aber auch immer dazu.

 

[stevenfreiburg]

....Wenn der Anwender dies alles beherrscht, dann frage ich mich, weshalb selbst Firmen, die viel Aufwand und Know-How betreiben, um ihr System sauber und sicher zu halten, immer wieder Ziel eines erfolgreichen Angriffs sein können.

Ich erinnere, dass selbst die CT vor nicht allzu langer Zeit Opfer von Ransomware war....

 

[Thonav]

Vorweg - irgendwie hat jeder Recht.
Nur - woher soll eine Person wissen, dass sie etwas nicht weiß wenn man sie nicht zumindest darauf aufmerksam macht?
Wir würden heute noch denken die Erde wäre eine Scheibe, wenn es nicht schlaue Leute wie in diesem Forum geben würde, die darauf aufmerksam machen. Es wäre sinnvoll wenn Synology eine gewisse Übersicht mit Grundinformationen/Hinweisen direkt mit der DS ausliefern würde.
@*kw* hat sowas hier im Forum ja schon mal begonnen, nur wie bekommt ein Neukunde zu diesen Informationen ohne von diesem Forum überhaupt eine Ahnung zu haben? Ein einigermaßen technisch versierter bekommt seine DS auch so zum laufen. Solange es keine Probleme gibt, wird er sich hier auch nicht tummeln - auch bei schlechter oder unsicherer Konfiguration. Stichwort: Möglichkeit zur "Automatische Routerkonfiguration".