SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[jony]

Noch als Nachtrag zu den Fragen am Anfang zu unserem gehackten Nas:
- Firmware DSM 4.3 vermutlich, kann ich wie gesagt nicht mehr anschauen aber sicher unter 5.0
- Offene Dienste gegen aussen: keine (oder nicht absichtlich aktiviert)
- VPN auf Router vorhanden mit PPTP (hab ich gelesen von wegen unsicher, hat ein IT Fachkundiger installiert, war aber wohl nicht die beste Wahl ;-)
- Ansonsten offene Ports oder Löcher im Router: Keine mit Absicht (Standard Netgear Router Einstellungen)

Und ja ansonsten, shit happens. Ist verdammt ärgerlich aber im Nachhinein betrachtet war das nicht regelmässige updaten der Firmware und das nicht genügend oft Backupen des Nas unser grösster Fehler. Dieser Fehler wird uns lehren die ganze IT Sicherheit genauer anzuschauen. Als Kleinfirma haben wir das ala Home user gehandhabt und sind nun schön auf die Fresse gefallen damit, Lerngeld halt.

Naja Danke derjenigen die hier viele interessante Facts gepostet haben und Hilfe zu dem Problem angeboten. Mittlerweile scheint die Sache ja ganz schön gross geworden zu sein noch am Sonntag konnten wir bei Google 2 Einträge finden zu SynoLocker und Heute sind es 1000ende. Wir waren wohl die einzigen Idioten die am Sonntag im Büro waren und festgestellt haben dass wir Angegriffen worden sind. So Sinnlos es ist wir haben den Fall bei der Polizei angezeigt damit wir wenigstens in der CyberCrime Statistik 2014 sind

 

[dil88]

Danke für Dein Update und Dein vernünftiges Resume. Viel Glück bei der Rekonstruktion und bei der Optimierung!

 

[Starcraftler]

ne offizielle Stellungnahme wär auch mal nich schlech ... nech

 

[gizmo21]

wenn ich das hier alles richtig mitgelesen habe, finden sich gerade mal 2 oder 3 die es erwischt hat. In Anbetracht des Sturmes hier, sind das nicht wirklich viele (auch wenn es für die Betroffenen schon schlimm ist).

Ich habe auch die Vermutung, dass eher alte Firmware-Versionen betroffen sind.

also auf Twitter sind es schon mehr als 2-3, die explizit sagen dass sie betroffen sind:
https://twitter.com/hashtag/Synolocker?src=hash

Ich finde es sogar sehr gut, dass die deutsche Community bei Sicherheitsthemen nicht einfach wegschaut, siehe auch Heartbleed Thread hier.
Eher finde ich das wegducken von Synology wiedereinmal inakzeptabel, denn die sollten mit eigenen Honeypots längst mit konkreteren Infos am Start sein.

 

[gizmo21]

Hallo Community!

Ich habe meine DiskStation auch erstmal komplett vom Netz genommen und sie vorsichtshalber auch ausgeschaltet.

Nun meine Frage: Weiß schon jemand ob die besagte Nachricht über die Verschlüsselung bereits während oder erst nach vollendeter Verschlüsselung erscheint?

Danke im Voraus.

Alles ohne Gewähr: scheinbar während der Verschüsselung, also kann man es schnell merken.

Zudem habe ich gelesen (leider gerade ohne Quelle, evtl. Twitter, eng. Forum) das bei 2 Betroffenen die verschlüsselten Dateien einen neuen Timestamp vom 2.8. hatten und die noch nicht erwischten das Originaldatum.

Also das könnte bei der Suche helfen.


Update:http://forum.synology.com/enu/viewtopic.php?f=3&t=88716&p=333823&hilit=synolocker#p333818


Hi Technical Support,

Suspect Synology disk-station been compromise!!!

So far, I received calls from 3 customer saying they can’t open their data files in their local network!

I notice one of the disk-station was been compromise past 'Saturday 02/08/14 08:20pm'.
I have screen through all folders and found as long any 'originated files' not been modify for the same date 'Saturday 02/08/14 08:20pm' are still {safe}, I strongly suggest move it to another folder or backup to another location immediately.

Unfortunately, I try login to one of the disk-station admin page, it pointed to an hi-jack page, SynoLocker! No way to attached a screen shot of the hi-jack page here for all references..
I had try reseting this disk-station by pressing the reset button behind, it didn't help!

Any quick advise how to get back the admin page will be most appreciated?

Best regards,
susuj

 

[ottosykora]

Das würde mich auch mal interessieren. In einem anderen Thread hat vorhin jemand mal die Standard-Ports eines Speedport w724v aufgelistet *klick* sowas wäre für die Fritzbox auch mal ganz nett zu wissen. Wenn da also jemand etwas zu sagen kann, wäre das toll.

Tommes

na ja, man konnte schon immer irgendwie einen Antrag stellen und einen Port international reservieren lassen für seine bestimmte Anwendung. Macht IANA offenbar.

http://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

 

[alexserikow]

Jep! Veränderte werden überschrieben! Du müsstest für jede veränderte Datei nen neuen Namen vergeben - dann würde das Backup die alte natürlich behalten! Aber Dein Backup wird so nach und nach immer Dicker! Und ehrlich gesagt - was willst Du eigentlich mit den längst gelöschten Daten noch? Die hattest Du doch nicht ohne Grund irgendwann mal gelöscht! Ne Zeit lang aufbewahren ist gut und schön, aber Du musst Dir ja dann immer die Mühe machen und alles nach ner Zeit nochmal filzen, wo Du Altbestände im Backup hast, die wegkönnen!

Mit TimeBackup aber nicht, oder?! Da kann ich mir doch den Tag für die Rücksetzung der Daten aussuchen - ist doch so aufgebaut wie TimeMachine mitm Mac...

 

[yep_DD]

Ich möchte mal anmerken, dass wenn ich "inurl:webman/index.cgi" google, tausende Ergebnisse bekomme für Port 5000 DS. Den Versionssnamen auszulesen ist dann eigentlich nur noch ein Kinderspiel. Jetzt wäre interessant zu wissen, ob die betroffenen Nutzer sich auf dem google Listing befinden. Was dann ja für eine Mischung aus QuickConnect / Port 5000 als attack vector sprechen könnte.

 

[prad]

Wer einen alten Rechner mit 2-4GB Ram rumstehen hat, könnte sich eine Sophos Home UTM installieren.
Hier sollte kein SynoLocker durch kommen.

mfg Peter

 

[Eckoman]

Wer einen alten Rechner mit 2-4GB Ram rumstehen hat, könnte sich eine Sophos Home UTM installieren.
Hier sollte kein SynoLocker durch kommen.

Aber nur, sofern man IPS aktiviert (bzw. WAF) und Sophos der Attackvektor bekannt ist - davon würde ich derzeit NICHT ausgehen, da wir den Vektor noch nicht kennen.

Auch ich habe meine DS hinter einer Sophos, trotzdem habe ich den Zugang derzeit gesperrt.

 

[prad]

Naja von außen habe ich nur IMAP-SSL und CalDAV-SSL freischalten, der Rest wird über fixe IP-Freischaltungen realisiert mit veränderten Ports.
IPS und WAF sind für mich normal. SMTP fängt ja auch die Sophos ab.
Die Sophos ist voll aufgedreht, sie soll ja nicht umsonst laufen.
VPN kann dann auch leicht über die Sophos gespielt werden.

Aber wer sich eine Sophos installiert, muss sich ja schon ein wenig auskennen.

Es ist halt eine zusätzliche Sicherheit.

 

[NEMA]

Liebe Synology Experten

Wir diskutieren nun bereits seit über einem Tag über dieses ominöse Problem hin und her. Auch ich bin verunsichert und habe aufgrund Eurer Empfehlungen alle Verbindungen direkt im DSM der Syno ausgeschaltet und auch am Router alle Verbindungen blockiert. Zusätzlich habe ich meine Syno den RJ45-Stecker geszogen "sicher ist sicher".

ABER - was mich am Meisten beunruhigt: KEINE OFFIZIELLE STELLUNGNAHME SEITENS VON SYNOLOGY!!!

Aus kommunikativer Optik und auch betreffend Kundenunterstützung der absolute SUPERGAU für dieses Unternehmen! Hier müsste UMGEHEND ein Statement auf der offiziellen Hompe (und nicht auf "Frazenbuch") erscheinen. Bislang findet sich auf der Interpräsenz von Synolgy "null-nada-nicht-zero"! Der Kunde wird alleine gelassen oder bei Anfrage mit einer Standard "copy-paste"-Antwort hingehalten!

Nur schon ein Heinweis mit auf der Hauptseite mit folgendem Inhalt würde von einem einigermassen professionellem Krisenmanagement zeugen: Wir haben seitens unserer Benutzer sich verdichtende Hinweise erhalten, dass diverse Produkte aus unserem Hause angegriffen wurden und die darauf bedindlichen Daten verschlüsselt worden sind. Die Benutzer werden aufgefordert einen Geldbetrag zu überweisen. Wir bitten alle Betroffenen umgehend auf dieser E-Mailadresse mit unserem Support in Verbindung zu treten. Alle anderen Benutzer bitten wir die unter folgendem Link aufgeführten Sicherheitsmassnahmen vorzunehmen. Unsere Spezialisten sind mit Hochdruck an der Analyse des Problems. Wir informieren Sie hier umgehend wenn wir nähere Informationen über die Angriffe haben und stellen via Patch eine Lösung zur Verfügung.

Ich hoffe nur, dass die Computerzeitschriften und unsere Freunde "über dem Teich" hier entpsrechend Druck aufsezten. Denn wollen wir nicht alle unsere Syno wieder verwenden?

Gruss

NEMA

 

[ottosykora]

da sind durchaus Nachrichten von Synology ( http://forum.synology.com/enu/viewtopic.php?f=108&t=88770 )

aber ich denke jetzt müssen die zuerst mal auf einige der betroffenen Geräte Zugriff bekommen, alles analysieren und herausfinden wo die Lücke ist. Am besten müssen die Devs gleich eine der DS auf den Tisch bekommen. Und wie lange kann so was dauern?
Wie sollen die sonst ein Statement machen? Und wozu braucht jemand ein Statement der nichts beinhaltet ausser das was man schon weiss.
Es ist klar dass die Leute jetzt zuerst mal an dem Problem arbeiten müssen und erst dann ein Statement rauslassen können.

 

[dr.zeissler]

Moin, hab eben bei HEISE gelesen was hier anscheinend Thema ist. Ich habe im Moment keine Möglichkeit zu prüfen, ob ich betroffen bin, da ich nicht zu Hause bin.
Ich stecke in der Materie nicht ganz so drin, daher wäre es hilfreich, wenn jemand mal ein paar Grundzüge erläutern würde; schließlich hat nicht jeder Netzwerktechnik studiert.
Die große Kunst ist es, ggf. komplexe Themen mit einfachen Worten verständlich zu erklären.

Meine Fragen:

1. Wie kann man sich so einen Trojaner etc. einfangen, der dann die NAS verschlüsselt?
- Ist es ein über einen Client, oder direkt über das NAS?

2. Was heißt "NAS über Internet erreichbar"?
- Mein NAS gleicht glaube ich die Zeit über das Internet ab, Firmwareupdates gehen direkt vom NAS aus, ob da der Client genutzt wird weis ich nicht.
- Welche Dienste die am NAS einschaltbar sind, erlauben den Zugriff/Angriff aus dem Internet?´
- Ich wüsste im Moment gar nicht, wie man überhaupt aus dem Internet eine Verbindung zu dem NAS herstellt. Was müsste man dafür einstellen?

3. Welche Firmware und welche Geräteserien sind betroffen?
- Alle?

4. Was wäre die ersten Schritte wenn man betroffen ist und auch wenn man nicht betroffen ist?

Danke!

 

[gizmo21]

Also wie ich schon oben anmerkte hätte Synology das mit eigenen Honeypots bereits am SA merken können und dann zumindest mal bis jetzt mehr Details posten können.

 

[NEMA]

da sind durchaus Nachrichten von Synology ( http://forum.synology.com/enu/viewtopic.php?f=108&t=88770 )

aber ich denke jetzt müssen die zuerst mal auf einige der betroffenen Geräte Zugriff bekommen, alles analysieren und herausfinden wo die Lücke ist. Am besten müssen die Devs gleich eine der DS auf den Tisch bekommen. Und wie lange kann so was dauern?
Wie sollen die sonst ein Statement machen? Und wozu braucht jemand ein Statement der nichts beinhaltet ausser das was man schon weiss.
Es ist klar dass die Leute jetzt zuerst mal an dem Problem arbeiten müssen und erst dann ein Statement rauslassen können.

Lieber ottosykora

Ja, das ist ein Statement in einem FORUM, ja und es scheint ein offizielles Forum von Synology zu sein. ABER - der "Otto-Normal-Benutzer" eines NAS von Synology wird bei direkter Betroffenheit oder Verunsicherung doch zuerst auf der (deutschen) offiziellen Internetpräsenz des Unternehmens nachsehen - oder? Nicht jeder sucht nach einem Forum im Netz oder gar in einem fremdsprachigen Forum. Ich versuche mich immer auf der offiziellen Seite zu informieren und da würde mich ein solches - wenn auch wie Du es nennst "nichts beinhaltendes" Statement - noch weniger ist wie Synology GAR NICHTS zu sagen resp. nur über ein Forum!!!

Ja, Du liegst richtig, die brauchen nun eine betroffene Synology und wir KUNDEN ein offizielles Statement z.B. auch mit dem Aufruf, dass sich Betroffene melden sollen und unkompliziert gehandelt wird!

Sorry, aber das ist meine ganz persönliche Meinung!

Gruss

NEMA

 

[TheGardner]

Ein Statement gibts deshalb nicht, weil sie sich noch gar nicht darüber klar sind, wo die Lücke ist. Und sinnlos öffentlich "rum vermuten" werden sie nicht! Ich mach mir da aber keinen Stress! Bei mir läuft alles und auch weiterhin mit meinen Services, die gebraucht werden!
Wir kommen aber nicht umhin, uns langsam an solche "Dinger" zu gewöhnen. Ob nun Mail-Account Spionage oder Geldbeschaffung durch Locker Progs - das wird in den kommenden Jahren immer weiter zur Perfektion getrieben werden! Und ob wirs wollen, oder nicht - wir werden mit den Situationen und Möglichkeiten mitgehen müssen! Wer aus vorherigen Sachen nicht lernt, bzw. das Verständnis nicht aufbringt für Gegenmaßnahmen zu sorgen, wird irgendwann mal überrollt werden!
Werde in Zukunft die Versorgung meiner DS nur noch über VPN abwickeln - zumindest solange bis sich abzeichnet, dass auch das nicht mehr sicher genug (für mich) ist!


Vielleicht noch ne Sache zur Verunsicherung einiger: Diese ist eigentlich nicht nötig, denn die Tendenz zeigt bisher deutlich, dass nur ein geringer Teil an Synologys betroffen ist! Wenn das nicht so wäre, wäre hier ein Erdbeben zu verzeichnen! Dass dem nicht so ist, zeigt (für mich) auch, dass da Maschinen betroffen sind, die gravierende Sicherheitsmängel aufwiesen (fehlende Updates, blank im Netz erreichbare Ports). Die meisten Unkundigen haben aber immer noch unkonfigurierte Router vor den NAS stehen, die -weil unkonfiguriert- dicht sind und keinen Netzwerktraffic zulassen! So gesehen müssen die meisten "hier mitlesenden" da gar nicht in Panik ausbrechen! Oftmals wird das NAS nur zu Hause für die heimische Foto/Video/Musik Sammlung genutzt und die wenigsten, wissen überhaupt, dass man mit dem Ding viel Größeres aufziehen könnte (z.B. aus dem Internet drauf zugreifen...)

 

[prad]

Wir kommen aber nicht umhin, uns langsam an solche "Dinger" zu gewöhnen. Ob nun Mail-Account Spionage oder Geldbeschaffung durch Locker Progs - das wird in den kommenden Jahren immer weiter zur Perfektion getrieben werden! Und ob wirs wollen, oder nicht - wir werden mit den Situationen und Möglichkeiten mitgehen müssen! Wer aus vorherigen Sachen nicht lernt, bzw. das Verständnis nicht aufbringt für Gegenmaßnahmen zu sorgen, wird irgendwann mal überrollt werden!

Da kann ich nur voll und ganz zustimmen!

 

[hakiri]

Einerseits sicher löblich, dass viele VPN benutzen und nicht diverse Ports via Natting freigeben.
Andererseits frage ich mich, ob man teilweise einem VPN Server nicht zu sehr vertraut?
Ich nutze das VPN der Fritz Box. Welche Implementierung da genau hinter steckt weiß ich nicht und ich weiß daher auch nicht, ob es wirklich sicher ist oder die Version nicht auch schon total veraltet und voll von Sicherheitslöchern ist. Im Endeffekt ist ein VPN ja auch nichts anderes ein Service mit offenen Ports, welcher Angriffsfläche bietet.

 

[Iarn]

Was mich ziemlich wundert, dass Synology keine Warnung an die Nutzer per Email heraus geschickt hat. Sonst bekomme ich relativ viel Spam von denen wegen Vulnarabilities.

Der Vorteil von VPN, selbst wenn es nur eine Fritzbo ist, ist folgender: Der Angreifer braucht sowohl einen Angriffsvektor für das Fritz VPN als auch für die Synology Firmware. Es ist unwahrscheinlich, dass der Angreifer gegen beides gleichzeitig eine Möglichkeit gefunden hat.

PS meine Synology im Rechenzentrum habe ich sicherheitshalber komplett runter gefahren bis mehr Informationen vorhanden sind.