Una desagradable sorpresa para los usuarios de la fantástica plataforma Synology: Un malware tipo «Ransomware» aparece en escena y cifra todos los archivos guardados en las NAS de esta plataforma. Sí: Ransomware para Synology cifrando la información guardada en las unidades de almacenamiento. Un ataque certero al corazón de la plataforma. Aún no hay información precisa de qué sistemas están afectados, ni de cómo el malware entra en las máquinas ni procede.
¿En qué consiste el problema? – Un Ransomware es un software malicioso que cifra todos los archivos del ordenador en el que se ejecuta. Hasta ahora ha estado apareciendo en la plataforma Windows de Microsoft y se han leído algunas amenazas ya en Android. Pero esto de que se ejecute directamente en servidores de almacenamiento y de copias de seguridad, como Synology en este caso, es un paso adelante muy, muy importante desde el punto de vista de desarrollo de malware.
Actualmente las únicas fuentes de información sobre el problema son algunos foros de Synology, sin que el fabricante haya todavía mostrado alguna postura oficial, ni explicación sobre el evento. Esperamos que digan algo pronto porque esto tiene un impacto muy fuerte.
¿Qué recomendamos hacer desde Metafrase si eres usuario de esta tecnología?
Si la NAS aún no está infectada:
- Cierra todos los puertos accesibles desde Internet a la NAS
- Actualiza el sistema operativo DSM a la última versión
- Espere a la explicación oficial de Synology
Si la NAS ya está infectada: (lo notará por alto uso de CPU sobre todo)
- Apague inmediatamente la NAS para detener el cifrado
- Espere a la explicación oficial de Synology
Aparentemente el proceso de cifrado se ejecuta en segundo plano, de forma que si apaga la NAS ahora mismo, hay una posibilidad de al menos recuperar los archivos que no hayan sido aún cifrados.
Recomendamos dar por perdidos los archivos cifrados. Es prácticamente imposible descifrar la información sin la clave de cifrado, a menos que esté alojada en alguna parte de la NAS, lo que resulta altamente improbable. Pagar el rescate de los secuestradores (0,6 bitcoins, alrededor de 300€) es siempre una opción, pero ojo porque no hay ninguna garantía de que vaya a obtener la clave y de que vaya a funcionar el proceso de descifrado.
Seguiremos atentos.
Actualización a 5 de agosto de 2014:
Según cita el portal de noticias ZDNet, un portavoz de Synology -que sigue sin realizar un comunicado oficial en su web o sus foros de usuarios- confirma que el ataque parece explotar una vulnerabilidad existente en versiones antiguas del sistema operativo de Synology (DSM). Parece ser que las máquinas afectadas cuentan con DSM 4.3-3810 o anterior. Según dice este portavoz no han detectado esta vulnerabilidad en ninguna versión de DSM 5.0 ni posterior. Dicho agujero fue parcheado en diciembre de 2013, y si tienes tu Synology al día parece que estás a salvo.
Synology pide actualizar a las siguientes versiones las unidades:
- Si usa DSM 4.3, actualice a DSM 4.3-3827 o posterior
- Si usa DSM 4.1 o DSM 4.2, actualice a DSM 4.2-3243 o posterior
- Si usa DSM 4.0, actualice a DSM 4.0-2259 o posterior
Enlace al artículo de ZDNet: http://www.zdnet.com/ransomware-attacks-synology-nas-devices-7000032335/
Actualizacion a 2 de septiembre de 2014
Aun sigue sin haber una explicación detallada por parte de Synology, si bien en un comunicado oficial nos dicen que podemos estar tranquilos si tenemos el DSM al dia. Han sacado un par de actualizaciones mas después de esto por lo que sospecho que algún fleco andaba suelto. Quizas -quien sabe- aunque no somos partidarios del oscurantismo, no haya sido mala decision por parte del fabricante no dar mas pistas sobre la vulnerabilidad o vulnerabilidades presentes que hubieran podido ser explotadas para este ataque.
Nosotros, por si acaso, tanto en las nuestras como las de nuestros clientes hemos decidido cerrar el acceso por Internet a las NAS, si no es a traves de un cliente de VPN seguro, como por ejemplo, a traves de nuestros Sophos UTM, o bien por cliente OpenVPN.
