VerschlĂĽsselungstrojaner attackiert Synology-Speichersysteme
Cyber-Erpresser haben einen neuen, direkten Weg gefunden, um das digitale Hab und Gut ihrer Opfer als Geisel zu nehmen: Sie nutzen vermutlich eine SicherheitslĂĽcke in der NAS-Firmware, um den gesamten Netzwerkspeicher zu verschlĂĽsseln.
- Ronald Eikenberg
Cyber-Erpresser greifen aktuell offenbar reihenweise Netzwerkspeicher von Synology an. Die Masche ist dabei die gleiche wie bei der aus Windows-Welt bekannten Ransomware CryptoLocker: Die Angreifer nutzen eine auf den Namen SynoLocker getaufte Malware, um sämtliche Dateien des Nutzers zu verschlüsseln. Wer wieder auf die Dateien zugreifen will, der soll ein Lösegeld in Höhe von 0,6 Bitcoin zahlen – das entspricht derzeit etwa 270 Euro.
Geld oder Daten
Die Täter üben zusätzlichen Druck aus, indem sie ihren Opfern eine Frist von wenigen Tagen setzen. Danach wird die doppelte Summe fällig. Der digitale Erpresserbrief erscheint auf der Admin-Seite des NAS. Er enthält zahlreiche Details zur technischen Umsetzung der Verschlüsselung, die den Opfern wenig Hoffnung darauf machen, ihre Dateien ohne die Hilfe der Täter wieder lesbar zu machen.
Einfallstor unbekannt
Vermutlich erfolgt der Angriff durch eine Sicherheitslücke in der NAS-Firmware. Um welche genau es sich dabei handelt, und ob diese bereits geschlossen wurde, ist derzeit noch unklar. Damit die Angreifer in das System einsteigen können, muss es über das Internet erreichbar sein. Auf welchen Ports das eigene NAS reagiert, kann man durch einen Portscan aus dem lokalen Netz herausfinden. Anschließend überprüft der Netzwerkcheck von heise Security, ob diese Ports (bei "ausgewählte Ports" eintragen) auch über das Internet erreichbar sind.
Update vom 04.08.14, 14:45: Synology hat uns gegenüber angekündigt, hierzu in Kürze in offizielles Statement zu veröffentlichen. (rei)