NAS de Synology atacados y secuestrados, con posibles soluciones [u]

Durante las últimas horas los NAS de Synology están siendo atacados y su contenido encriptado obligando a los usuarios que no quieran perder sus archivos a pagar un rescate de 350 dólares aproximadamente por recuperarlos. Estas son algunas de las cosas que puedes hacer para proteger tus datos. Actualizaciones al final del artículo. Actualización: Synology ha publicado una nota en la que explica que equipos están afectados y que la vulnerabilidad está parcheada en una actualización. Los usuarios afectados no actualizaron su software y por eso se han visto afectados. DSM 5 no es vulnerable al problema.


NAS de Synology atacados y secuestrados, con posibles soluciones [u]
53 10
53 10

Durante las últimas horas los NAS de Synology están siendo atacados y su contenido encriptado obligando a los usuarios que no quieran perder sus archivos a pagar un rescate de 350 dólares aproximadamente por recuperarlos. Estas son algunas de las cosas que puedes hacer para proteger tus datos. Actualización: Synology ha publicado una nota en la que explica que equipos están afectados y que la vulnerabilidad está parcheada en una actualización. Los usuarios afectados no actualizaron su software y por eso se han visto afectados. DSM 5 no es vulnerable al problema.

Para no alargar innecesariamente el artículo y centrarnos en las posibles medidas de protección que podemos ejecutar para no ser afectados por este ataque, el problema está definido en este artículo de Emilcar: Secuestros aleatorios de NAS Synology con una serie de enlaces adicionales.

Ahora pongámonos en faena.

Para empezar, si no tienes un poco de background técnico, lo mejor que puedes hacer es mandar apagar el NAS y esperar 48 horas, tiempo en el que muy posiblemente Synology podrá crear una actualización de software que solucione el problema de entrada, pero seguramente Synology no se hara cargo de los datos que hayan sido ya secuestrados porque hace falta una llave única de desenciptación de los mismos y eso solo está en poder de los atacantes.

El ataque es externo, por lo que debemos proteger nuestro NAS frente a posibles intrusiones del exterior, así que vamos a ir desconectando algunos servicios: nuestro NAS no será accesible desde fuera de nuestra red interna, pero podremos seguir trabajando con el dentro de nuestra red interna de dispositivos.

No hay noticias de cómo y de qué forma se realiza la intrusión dentro del NAS o de que vulnerabilidades aprovecha, y aunque se estima que el acceso se realiza a través de una configuración erronea o una vulnabilidad de EZ Internet lo que vamos a hacer es desactivar todos los servicios que implican una conexión al exterior.

Paso a paso

Si has establecido en tu router reglas de derivación de puertos directamente al NAS, desactívalos en el router.

En Panel de Control > Acceso externo si has activado el servicio DDNS, selecciónalo, edítalo y desactívalo.

En el mismo Panel de Control, en configuración del enrutador, si has creado alguna configuración, deshabilítala o bórrala. Ya podrás crear una posteriormente.

En Panel de Control > QuickConnect, desactiva el servicio.

En el Panel de Control > Terminal y SNMP, desactiva los servicios Telnet y SSH.

Como cabe la posibilidad de que el acceso pueda ser una vulnerabilidad mixta atacando a través del acceso externo a una aplicación concreta que se esté ejecutando en el NAS, detén todas las aplicaciones desde Centro de paquetes, entrando en cada una de las aplicaciones y seleccionando detener en el menú Acción.

En el Panel de Control > Seguridad > Cortafuegos podemos crear reglas para impedir conexiones desde zonas específicas del planeta. No hay establecida una ubicación para los ataques, por lo que crear reglas para todas las zonas, ya que DSM5 solo permite un máximo de 15 zonas por regla, llevará algo de trabajo. Lo mejor es crear una regla específica para nuestra red interna/LAN de la siguiente forma para que cualquier otra IP sea rechazada al intentar conectar:

Estas son medias preventivas que no garantizan totalmente que los atacantes hayan elaborado un sistema mucho más insidioso para acceder al NAS, pero aún así, al desactivar estos servicios estamos poniendo bastantes impedimentos a cualquier ataque externo. Este tipo de atacantes quiere una intrusión rápida y sin problemas y ante dificultades simplemente saltan al siguiente NAS. 

Esta mañana hemos hablado con el representante de prensa de Synology para España que no ha hecho ningún comentario al respecto, pero ha indicado que se publicará información de este asunto tan pronto como se haga pública. En Synology están al tanto del tema y nos consta que están trabajando en una solución.

Este artículo se irá actualizando conforme haya más información.

Actualizaciones

13:51 Nos confirman desde Synology que el equipo de Taiwan está trabajando en este problema, y que se enviará hoy un comunicado sobre el tema.

Actualización: Synology ha publicado una nota en la que explica que equipos están afectados y que la vulnerabilidad está parcheada en una actualización. Los usuarios afectados no actualizaron su software y por eso se han visto afectados. DSM 5 no es vulnerable al problema.

Categorías para este artículo

Añade un comentario

10 comments

  1.   

    joder joder… ni en esto podemos estar tranquilos!

  2.   

    Muchas gracias por los consejos.
    A la espera de la respuesta oficial.

  3.   

    Apagado mi NAS.

  4.   

    Ni en esto ni en nada, Rafa, ya no.

  5.   

    Y digo yo…., no es más fácil cambiarle el gateway al NAS y así deja de estar activo en internet?, vamos no sabría volver ante cualquier petición.

    Saludos.

  6.   

    joer, vaya tela. Ni con tu propio servidor tienes los datos a salvo…

  7.   

    Evidentemente, la mejor opción por ahora es apagarlo. Nadie sabe si el SynoLocker lo tienes ya dentro y por lo tanto aunq estuviera aislado del mundo exterior, puede completar su actividad.
    No obstante, se me ocurre como una posible acción también el darlo de baja (temporalmente) del servicio de Synology donde se registra y compruebas que está On, además de cerrar los puertos del NAS, crear usuario Admin alternativo, etc
    Quizá este ‘achaque’ conciencie a mucha gente que lo realmente importante de tener un NAS, es el desarrollar y establecer un plan de copias de seguridad a HDs externos, o servicios, o lugares alternativos de las cosas que en el NAS (como en cualquier otra ubicación) pudieras tener. Obviamente de forma automática y trasparente.
    No he podido leer por falta de tiempo si había algún NAS con la última versión del DSM afectado, pero por si las moscas, lo dicho, Off

  8.   

    Mi NAS es una Raspberry Pi y un disco duro.
    Al menos eso lo controlo yo y no creo que me lo puedan atacar mucho desde fuera.

  9.   

    Se agradece a FAQ-MAC por su trabajo e información, por el momento mi decision es OFF al NAS mientras pasa la turbulencia y Synology desarrolla un UPDATE para seguridad.

  10.   

    Jorge, los usuarios de DSM 5 no estamos afectados. Solo los de la 4.3 que no actualizaron. Más info en:

    http://www.faq-mac.com/noticias/synology-habla-sobre-synolocker/51864