Ransomware greift nach dem NAS
Das Dateien verschlüsselnde Ransomware sich in erster Linie um die für den Benutzer vermutlich wichtigen Dateien "kümmert" ist logisch, für die wird der Benutzer am ehesten Lösegeld zahlen. Ebenso logisch ist es, nicht nur die Dateien des lokalen Rechners zu verschlüsseln, sondern auch die an allen anderen über das Netzwerk erreichbaren Speicherorten. Früher oder später musste also Ransomware auftauchen, die die Netzwerkspeicher (NAS) im lokalen Netz angreift. Jetzt ist es soweit, und sogar schlimmer als zu erwarten war:
Eben noch ein Backup, nun nur noch Datenmüll
SynoLocker nutzt eine bereits im Dezember 2013 gepatchte Schwachstelle in der Firmware von Synology NAS-Geräten aus, um sich von außen Zugriff auf die mit dem Internet verbundenen Geräte zu verschaffen und die darauf gespeicherten Daten zu verschlüsseln. Das ist natürlich besonders fatal, wenn es sich dabei um Backups handelt - und womöglich gleichzeitig die Windows-Rechner von einem anderen Ransomware-Schädling infiziert werden.
Ein provozierter Angriff mit Ansage
Die Opfer dieser Ransomware haben zwei entscheidende Fehler gemacht: Der erste Fehler war es, den Netzwerkspeicher aus dem Internet zugänglich zu machen, noch dazu dessen Admin-Oberfläche, den DiskStation Manager (DSM). Das schreit ja geradezu nach einem Angriff. Dass Synology das den Benutzern besonders leicht macht und damit die Gefahr geradezu herausfordert tut dabei nichts zur Sache, denn die Benutzer haben diese Konfiguration ja mit Absicht gewählt.
Der zweite Fehler war es, die Firmware nicht aktuell zu halten und dadurch die "Greif mich an"-Schreie noch deutlicher zu machen. Schon seit Januar ist bekannt, dass die behobenen Schwachstellen für Angriffe ausgenutzt werden, damals wurden die Geräte zum Bitcoin-Mining gekapert. Wer seine Firmware immer noch nicht aktualisiert hat, hat dann eben Pech gehabt.
Ein Online-Backup mit Internet-Zugang schreit nach dem Unheil...
Wer dann noch den Fehler gemacht hat, das NAS als Backup-Speicher zu verwenden, hat natürlich gleich ein noch größeres Problem. Die Daten kann er mit ziemlicher Sicherheit abschreiben. Sofern sie irgendwo ausgedruckt vorliegen sogar im wahrsten Sinne des Wortes. Denn die dürften ohne Mitarbeit der Cyberkriminellen nicht zu entschlüsseln sein. Zumindest scheinen die Cyberkriminellen in der Hinsicht leider alles richtig gemacht zu haben:
Zuerst wird auf dem Server der Cyberkriminellen ein
RSA-2014-Schlüsselpaar erzeugt, dessen öffentlicher
Schlüssel dann an die Schadsoftware auf dem NAS geschickt wird.
Für die Verschlüsselung der Dateien wird AES mit einem
zufällig erzeugten 256 Bit langen Schlüssel verwendet. Dieser
AES-Schlüssel wird nach Abschluss der Dateiverschlüsselung mit
dem öffentlichen RSA-Schlüssel verschlüsselt und das
Ergebnis auf dem NAS gespeichert. Danach wird der AES-Schlüssel aus
dem Speicher gelöscht.
Eine Entschlüsselung ist also nur möglich, wenn die
Cyberkriminellen den für die Dateiverschlüsselung verwendeten
AES-Schlüssel mit ihrem geheimen RSA-Schlüssel entschlüsseln
(oder diesen Schlüssel zur Verfügung stellen).
Sofern es keinen Implementierungsfehler gibt ist eine Entschlüsselung
auf anderem Wege nicht möglich.
Und wer auf die Idee kommt, die Cyberkriminellen zu bezahlen, sollte gleichzeitig anfangen zu beten, dass die bereit sind, den privaten RSA-Schlüssel zu liefern oder den AES-Schlüssel zu entschlüsseln. Und das sie das noch können. Schließlich kann ja auch der private Schlüssel verloren gehen oder zerstört werden.
... und ohne Internet ist es auch nicht viel sicherer
Das alles gilt natürlich nicht nur für aus dem Internet erreichbare NAS. Auch ein nur im lokalen Netz erreichbares NAS ist angreifbar, so lange es eingeschaltet ist. Eine auf einem Windows-Rechner im lokalen Netz laufende Ransomware kann die darauf gespeicherten Dateien problemlos verschlüsseln. Ausreichende Rechte natürlich vorausgesetzt, aber die wird die Ransomware in SOHO-Umgebungen im Allgemeinen haben.
Ein Backup darf nicht (zu einfach) zugänglich sein
Es spricht nichts dagegen, ein Backup auf eine externe Festplatte zu machen. Es spricht auch nichts gegen die Verwendung einer übers Netzwerk angeschlossenen Festplatte. Man muss sich nur bewusst sein, dass dieses Backup gefährdet ist, so lange auf die Festplatte zugegriffen werden kann. Entweder muss mal also dafür sorgen, dass die Festplatte nur angeschlossen ist, wenn sie wirklich benötigt wird. Oder man muss ein Offline-Backup der Festplatte haben, so dass eine Zerstörung des "Backups" auf der ständig angeschlossenen Platte nicht die einzige Kopie der Daten zerstört.
Dateien auf einem ans Internet angeschlossen NAS, das womöglich auch noch weitere Aufgaben erfüllt, kann man vielleicht mit Mühe und Not zu "Sicherheitskopien" erklären, aber sie ersetzen kein Backup. Ganz im Gegenteil - die Daten auf dem NAS brauchen selbst ein Backup, denn man sieht ja, wie schnell die weg oder unbrauchbar sind. Und SynoLocker wird mit ziemlicher Sicherheit nicht der einzige direkt die NAS angreifende Schädling bleiben. Darum:
Vorbeugen ist besser als den Daten hinterher trauern
Sorgen Sie für ein sicheres Backup. Und sichern Sie alle mit dem Internet verbundenen Geräte. Denn genau so wie jetzt Ransomware die Daten auf dem NAS verschlüsselt hat könnte demnächst Spyware zum Beispiel Ihren ans Internet angeschlossenen Fernseher als Sprungbrett ins lokale Netz missbrauchen.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Wie Wifi hackende Katzen mit Ransomware ein nicht tot zu kriegendes Botnet kapern. Oder so.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wenn Metadaten Spammern verraten, wo Heartbleed zu Datenlecks in Ransomware führt. Oder so.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Mobile Technology 4.2014 - Angriffsziel DSLR
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Einige kommentierte Updates zu älteren Artikeln
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 4.16 - Internet of Targets
Vorschau anzeigen