Synolocker


Il famoso ransomware CrysynolockerptoLocker e` stato, a quanto pare, adattato per poter girare direttamente dentro ai NAS Synology. Al momento non so in quale modo viene portato l’attacco, ovvero in che modo il malware si installi nel NAS, ma mi sembra ovvio che sia opportuno prendere in considerazione le classiche misure di sicurezza, soprattutto fino a che non sara` fatta piu` luce sul problema.

 

 

  1. Se possibile, staccare totalmente il NAS da internet
  2. Se non e` possibile, esporre solo le porte veramente necessarie. Ad esempio esporre la porta del file manager ma non quella dell’amministrazione
  3. Esporre se possibile il NAS usando porte non standard (riduce il rischio di essere oggetto di un attacco casuale)
  4. Assicurarsi che il NAS non sfrutti UPNP per aprire delle porte sul router all’insaputa dell’utente
  5. Impostare password complesse e lunghe
  6. Aggiornare il firmware del NAS
  7. Tenere un backup offline dei files.

 

Visto che ancora non si sa come il malware penetri nel NAS, puo` essere che la via di infezione sia a mezzo di un altro malware che gira su un PC Windows nella LAN del NAS, in questo caso le precauzioni relative all’accesso via internet sarebbero inutili, ma e` comunque meglio prenderle in considerazione tutte. E` altrettanto logico che un PC infetto sul quale sia stata salvata (o anche solo digitata) la password di amministrazione e` un vettore di attacco contro il quale non c’e` soluzione, se non spegnere il NAS. 🙂

Aggiornamento: Cercando notizie in giro ho scoperto che da parecchio tempo (diversi mesi, pare) e` in giro un malware che infetta i NAS Synology e che mina bitcoin, senza fare altri danni. A parte che trovo assurdo minare bitcoin con le CPU ridicole che si trovano nei NAS, questo nuovo malware potrebbe evidentemente avere ereditato le capacita` di attacco dal vecchio bitcoin miner.

 

 


3 risposte a “Synolocker”

  1. E’ ridicolo minare bitcoin con un Atom se con lo stesso sforzo puoi infettare un i7.
    Tieni presente pero’ che un NAS e’ spesso sempre acceso, viene usato poco dall’utente legittimo, non ha antivirus caricati, non ha firewall e non viene usato in interattivo. Se e’ aziendale c’e’ il rischio che venga usato solo per i backup notturni e spesso quello che interessa l’IT e’ che lo stato del backup sia “SUCCESS”, che ci metta un’ora o cinque ore non e’ un problema per le realta’ small business (tanto chiudono alle 6 e riaprono alle 9).
    Se aggiungi che spesso si lascia la password di default…

  2. Sempre for the records, questo e` link alla vulnerabilita` che suppongo venga usata:

    http://www.cvedetails.com/cve/CVE-2013-6955/

    La cosa positiva e` che stando alle prove che ho fatto io questo script cgi vulnerabile non puo` essere raggiunto dalla interfaccia di “file manager” (porta 7000), ma solo da quella di amministrazione (porta 5000). Questo significa che probabilmente chi ha aperto su internet solo il file manager e` salvo, almeno per ora.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *