Skip to content

Ransomware greift nach dem NAS

Das Dateien verschlüsselnde Ransomware sich in erster Linie um die für den Benutzer vermutlich wichtigen Dateien "kümmert" ist logisch, für die wird der Benutzer am ehesten Lösegeld zahlen. Ebenso logisch ist es, nicht nur die Dateien des lokalen Rechners zu verschlüsseln, sondern auch die an allen anderen über das Netzwerk erreichbaren Speicherorten. Früher oder später musste also Ransomware auftauchen, die die Netzwerkspeicher (NAS) im lokalen Netz angreift. Jetzt ist es soweit, und sogar schlimmer als zu erwarten war:

Eben noch ein Backup, nun nur noch Datenmüll

SynoLocker nutzt eine bereits im Dezember 2013 gepatchte Schwachstelle in der Firmware von Synology NAS-Geräten aus, um sich von außen Zugriff auf die mit dem Internet verbundenen Geräte zu verschaffen und die darauf gespeicherten Daten zu verschlüsseln. Das ist natürlich besonders fatal, wenn es sich dabei um Backups handelt - und womöglich gleichzeitig die Windows-Rechner von einem anderen Ransomware-Schädling infiziert werden.

Ein provozierter Angriff mit Ansage

Die Opfer dieser Ransomware haben zwei entscheidende Fehler gemacht: Der erste Fehler war es, den Netzwerkspeicher aus dem Internet zugänglich zu machen, noch dazu dessen Admin-Oberfläche, den DiskStation Manager (DSM). Das schreit ja geradezu nach einem Angriff. Dass Synology das den Benutzern besonders leicht macht und damit die Gefahr geradezu herausfordert tut dabei nichts zur Sache, denn die Benutzer haben diese Konfiguration ja mit Absicht gewählt.

Der zweite Fehler war es, die Firmware nicht aktuell zu halten und dadurch die "Greif mich an"-Schreie noch deutlicher zu machen. Schon seit Januar ist bekannt, dass die behobenen Schwachstellen für Angriffe ausgenutzt werden, damals wurden die Geräte zum Bitcoin-Mining gekapert. Wer seine Firmware immer noch nicht aktualisiert hat, hat dann eben Pech gehabt.

Ein Online-Backup mit Internet-Zugang schreit nach dem Unheil...

Wer dann noch den Fehler gemacht hat, das NAS als Backup-Speicher zu verwenden, hat natürlich gleich ein noch größeres Problem. Die Daten kann er mit ziemlicher Sicherheit abschreiben. Sofern sie irgendwo ausgedruckt vorliegen sogar im wahrsten Sinne des Wortes. Denn die dürften ohne Mitarbeit der Cyberkriminellen nicht zu entschlüsseln sein. Zumindest scheinen die Cyberkriminellen in der Hinsicht leider alles richtig gemacht zu haben:

Zuerst wird auf dem Server der Cyberkriminellen ein RSA-2014-Schlüsselpaar erzeugt, dessen öffentlicher Schlüssel dann an die Schadsoftware auf dem NAS geschickt wird. Für die Verschlüsselung der Dateien wird AES mit einem zufällig erzeugten 256 Bit langen Schlüssel verwendet. Dieser AES-Schlüssel wird nach Abschluss der Dateiverschlüsselung mit dem öffentlichen RSA-Schlüssel verschlüsselt und das Ergebnis auf dem NAS gespeichert. Danach wird der AES-Schlüssel aus dem Speicher gelöscht.
Eine Entschlüsselung ist also nur möglich, wenn die Cyberkriminellen den für die Dateiverschlüsselung verwendeten AES-Schlüssel mit ihrem geheimen RSA-Schlüssel entschlüsseln (oder diesen Schlüssel zur Verfügung stellen).
Sofern es keinen Implementierungsfehler gibt ist eine Entschlüsselung auf anderem Wege nicht möglich.

Und wer auf die Idee kommt, die Cyberkriminellen zu bezahlen, sollte gleichzeitig anfangen zu beten, dass die bereit sind, den privaten RSA-Schlüssel zu liefern oder den AES-Schlüssel zu entschlüsseln. Und das sie das noch können. Schließlich kann ja auch der private Schlüssel verloren gehen oder zerstört werden.

... und ohne Internet ist es auch nicht viel sicherer

Das alles gilt natürlich nicht nur für aus dem Internet erreichbare NAS. Auch ein nur im lokalen Netz erreichbares NAS ist angreifbar, so lange es eingeschaltet ist. Eine auf einem Windows-Rechner im lokalen Netz laufende Ransomware kann die darauf gespeicherten Dateien problemlos verschlüsseln. Ausreichende Rechte natürlich vorausgesetzt, aber die wird die Ransomware in SOHO-Umgebungen im Allgemeinen haben.

Ein Backup darf nicht (zu einfach) zugänglich sein

Es spricht nichts dagegen, ein Backup auf eine externe Festplatte zu machen. Es spricht auch nichts gegen die Verwendung einer übers Netzwerk angeschlossenen Festplatte. Man muss sich nur bewusst sein, dass dieses Backup gefährdet ist, so lange auf die Festplatte zugegriffen werden kann. Entweder muss mal also dafür sorgen, dass die Festplatte nur angeschlossen ist, wenn sie wirklich benötigt wird. Oder man muss ein Offline-Backup der Festplatte haben, so dass eine Zerstörung des "Backups" auf der ständig angeschlossenen Platte nicht die einzige Kopie der Daten zerstört.

Dateien auf einem ans Internet angeschlossen NAS, das womöglich auch noch weitere Aufgaben erfüllt, kann man vielleicht mit Mühe und Not zu "Sicherheitskopien" erklären, aber sie ersetzen kein Backup. Ganz im Gegenteil - die Daten auf dem NAS brauchen selbst ein Backup, denn man sieht ja, wie schnell die weg oder unbrauchbar sind. Und SynoLocker wird mit ziemlicher Sicherheit nicht der einzige direkt die NAS angreifende Schädling bleiben. Darum:

Vorbeugen ist besser als den Daten hinterher trauern

Sorgen Sie für ein sicheres Backup. Und sichern Sie alle mit dem Internet verbundenen Geräte. Denn genau so wie jetzt Ransomware die Daten auf dem NAS verschlüsselt hat könnte demnächst Spyware zum Beispiel Ihren ans Internet angeschlossenen Fernseher als Sprungbrett ins lokale Netz missbrauchen.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Drucksache: Mobile Technology 4.2014 - Angriffsziel DSLR

Vorschau anzeigen
Im Magazin Mobile Technology 4.2014 ist ein Artikel über Angriffe auf DSLR erschienen. Denn wenn man die mit einem Netzwerk verbindet, können sie aus diesem heraus auch angegriffen werden. Die vorgestellten Schwachstellen und Angrif

Dipl.-Inform. Carsten Eilers am : Einige kommentierte Updates zu älteren Artikeln

Vorschau anzeigen
Heute gibt es mal wieder einige kommentierte Ergänzungen zu älteren Artikeln. 0-Day-Exploit für ein NAS, aber der Patch hat Zeit? Voriges Jahr gab es die erste Ransomware für Synology NAS. Und die nutzte eine Schwachstelle

Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 4.16 - Internet of Targets

Vorschau anzeigen
Im Entwickler Magazin 4.16 ist ein Artikel über Angriffe auf das IoT erschienen. Genauer: Auf einige eher exotische Vertreter des IoT. Für die Cyberkriminellen sind die "Things" des IoT erst mal nur eins: Potentielle Angriffsziele

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!