Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Ransomware gijzelt NAS-opslag

NAS-systemen van Synology zijn doelwit van nieuwe malware die de opgeslagen data versleutelt en dan losgeld eist. De zo gegijzelde gegevens moeten in Bitcoin worden betaald.

De zogeheten Synolocker-malware lijkt binnen te komen via de webinterface van de Synology NAS-apparaten (network attached storage). Het is nog niet duidelijk of het gaat om een gloednieuw gat in de webserver van het op Linux gebaseerde Synology-besturinggsyssteem (DSM). Mogelijk gaat het om een kwetsbaarheid waarvoor Synology al updates heeft uitgebracht, maar die gebruikers nog niet hadden geïnstalleerd.

Toegang vanaf internet

Op Twitter en op internetfora wordt melding gemaakt door getroffen Synology-klanten. Daarbij wordt langzaam in kaart gebracht wat de overeenkomsten zijn qua DSM-versie (vooralsnog 4.3) en de services op het gegijzelde NAS-apparaat die openstonden naar internet toe. Hierbij wordt ook de EZ-internetdient van Synology zelf aangewezen als verdachte. Die dienst maakt het makkelijker om de NAS-systemen van die fabrikant vanaf internet te benaderen.

 Als de malware eenmaal is binnengekomen, versleutelt het de data die staat opgeslagen op de NAS. Toegang tot die gegevens is dan niet meer mogelijk; noch via gedeelde mappen op het netwerk, noch via de beheerinterface. Vervolgens wordt de beheerpagina van het opslagapparaat vervangen door de gijzelingsmelding waarbij het losgeld wordt geëist. Momenteel eisen de datagijzelaars 0,6 Bitcoin (ongeveer 260 euro), wat betaald dient te worden via anonimiseringsnetwerk Tor. Fabrikant Synology is ingelicht en onderzoekt de zaak.

Data redden

Volgens securitynieuwssite CSO worden de bestanden stuk voor stuk versleuteld, dus zou snel uitschakelen van het NAS-apparaat de schade kunnen beperken. Synology-gebruikers moeten dat dan doen zodra ze ontdekken dat de malware bezig is, wat al zou kunnen doordat de gekaapte beheerpagina meldt dat Synolocker bezig is de opgeslagen data te versleutelen. Het geheel uitschakelen van de NAS ‘bevriest’ die operatie dan, waarna de nog niet gegijzelde gegevens nog zijn te redden middels herinstallatie van het Synology-OS zónder de geïnfecteerde harde schijven om die daarna dan toe te voegen zodat de data gekopieerd kan worden.

Geschreven door: Redactie PCM op

Category: Nieuws, Security

Tags: Ransomware, Malware

Nieuws headlines

donderdag 30 november

donderdag 09 november

Laatste reactie