Dipl.-Inform. Carsten Eilers

SynoLocker nutzt eine bereits im Dezember 2013 gepatchte Schwachstelle in der Firmware von Synology NAS-Geräten aus, um sich von außen Zugriff auf die mit dem Internet verbundenen Geräte zu verschaffen und die darauf gespeicherten Daten zu verschlüsseln. Das ist natürlich besonders fatal, wenn es sich dabei um Backups handelt - und womöglich gleichzeitig die Windows-Rechner von einem anderen Ransomware-Schädling infiziert werden.

Ein provozierter Angriff mit Ansage

Die Opfer dieser Ransomware haben zwei entscheidende Fehler gemacht: Der erste Fehler war es, den Netzwerkspeicher aus dem Internet zugänglich zu machen, noch dazu dessen Admin-Oberfläche, den DiskStation Manager (DSM). Das schreit ja geradezu nach einem Angriff. Dass Synology das den Benutzern besonders leicht macht und damit die Gefahr geradezu herausfordert tut dabei nichts zur Sache, denn die Benutzer haben diese Konfiguration ja mit Absicht gewählt.

Der zweite Fehler war es, die Firmware nicht aktuell zu halten und dadurch die "Greif mich an"-Schreie noch deutlicher zu machen. Schon seit Januar ist bekannt, dass die behobenen Schwachstellen für Angriffe ausgenutzt werden, damals wurden die Geräte zum Bitcoin-Mining gekapert. Wer seine Firmware immer noch nicht aktualisiert hat, hat dann eben Pech gehabt.

Ein Online-Backup mit Internet-Zugang schreit nach dem Unheil...

Wer dann noch den Fehler gemacht hat, das NAS als Backup-Speicher zu verwenden, hat natürlich gleich ein noch größeres Problem. Die Daten kann er mit ziemlicher Sicherheit abschreiben. Sofern sie irgendwo ausgedruckt vorliegen sogar im wahrsten Sinne des Wortes. Denn die dürften ohne Mitarbeit der Cyberkriminellen nicht zu entschlüsseln sein. Zumindest scheinen die Cyberkriminellen in der Hinsicht leider alles richtig gemacht zu haben:

Zuerst wird auf dem Server der Cyberkriminellen ein RSA-2014-Schlüsselpaar erzeugt, dessen öffentlicher Schlüssel dann an die Schadsoftware auf dem NAS geschickt wird. Für die Verschlüsselung der Dateien wird AES mit einem zufällig erzeugten 256 Bit langen Schlüssel verwendet. Dieser AES-Schlüssel wird nach Abschluss der Dateiverschlüsselung mit dem öffentlichen RSA-Schlüssel verschlüsselt und das Ergebnis auf dem NAS gespeichert. Danach wird der AES-Schlüssel aus dem Speicher gelöscht.
Eine Entschlüsselung ist also nur möglich, wenn die Cyberkriminellen den für die Dateiverschlüsselung verwendeten AES-Schlüssel mit ihrem geheimen RSA-Schlüssel entschlüsseln (oder diesen Schlüssel zur Verfügung stellen).
Sofern es keinen Implementierungsfehler gibt ist eine Entschlüsselung auf anderem Wege nicht möglich.

Und wer auf die Idee kommt, die Cyberkriminellen zu bezahlen, sollte gleichzeitig anfangen zu beten, dass die bereit sind, den privaten RSA-Schlüssel zu liefern oder den AES-Schlüssel zu entschlüsseln. Und das sie das noch können. Schließlich kann ja auch der private Schlüssel verloren gehen oder zerstört werden.

... und ohne Internet ist es auch nicht viel sicherer

Das alles gilt natürlich nicht nur für aus dem Internet erreichbare NAS. Auch ein nur im lokalen Netz erreichbares NAS ist angreifbar, so lange es eingeschaltet ist. Eine auf einem Windows-Rechner im lokalen Netz laufende Ransomware kann die darauf gespeicherten Dateien problemlos verschlüsseln. Ausreichende Rechte natürlich vorausgesetzt, aber die wird die Ransomware in SOHO-Umgebungen im Allgemeinen haben.

Ein Backup darf nicht (zu einfach) zugänglich sein

Es spricht nichts dagegen, ein Backup auf eine externe Festplatte zu machen. Es spricht auch nichts gegen die Verwendung einer übers Netzwerk angeschlossenen Festplatte. Man muss sich nur bewusst sein, dass dieses Backup gefährdet ist, so lange auf die Festplatte zugegriffen werden kann. Entweder muss mal also dafür sorgen, dass die Festplatte nur angeschlossen ist, wenn sie wirklich benötigt wird. Oder man muss ein Offline-Backup der Festplatte haben, so dass eine Zerstörung des "Backups" auf der ständig angeschlossenen Platte nicht die einzige Kopie der Daten zerstört.

Dateien auf einem ans Internet angeschlossen NAS, das womöglich auch noch weitere Aufgaben erfüllt, kann man vielleicht mit Mühe und Not zu "Sicherheitskopien" erklären, aber sie ersetzen kein Backup. Ganz im Gegenteil - die Daten auf dem NAS brauchen selbst ein Backup, denn man sieht ja, wie schnell die weg oder unbrauchbar sind. Und SynoLocker wird mit ziemlicher Sicherheit nicht der einzige direkt die NAS angreifende Schädling bleiben. Darum:

Vorbeugen ist besser als den Daten hinterher trauern

Sorgen Sie für ein sicheres Backup. Und sichern Sie alle mit dem Internet verbundenen Geräte. Denn genau so wie jetzt Ransomware die Daten auf dem NAS verschlüsselt hat könnte demnächst Spyware zum Beispiel Ihren ans Internet angeschlossenen Fernseher als Sprungbrett ins lokale Netz missbrauchen.

Carsten Eilers