Ransomware attacca i NAS Synology e sequestra i file

Oltre all’utilizzo della configurazione RAID, l’impiego di server NAS, soprattutto in ambito professionale, è particolarmente consigliato per evitare spiacevoli perdite di dati (ne abbiamo parlato nell’articolo Evitare perdite di dati: come configurare RAID e nel precedente Server NAS: condividere file in rete locale ed accedervi da remoto).

I possessori di NAS a marchio Synology, particolarmente diffusi in ambito aziendale, debbono da oggi guardarsi da una importante minaccia: SynoLocker. Si tratta di un nuovo ransomware che modifica i file caricati dal server web in esecuzione sui NAS Synology e visualizza una pagina chiedendo all’utente il versamento di 0,6 Bitcoin, importo equivalente a circa 260 euro. Applicando un cliché simile a quello utilizzato da Cryptolocker in Windows (Difendersi da Cryptolocker e dagli altri ransomware), tutti i file conservati sul NAS Synology vengono automaticamente crittografati da SynoLocker.
L’utente vittima, per poter rimettere le mani sui suoi file, viene invitato a visitare una pagina pubblicata sul cosiddetto “deep web” (vedere l’articolo Scoperto un attacco in grande stile alla rete TOR per saper di che cosa si tratta), accessibile solo installando il client TOR. La pagina viene utilizzata dagli aggressori per la gestione del pagamento in Bitcoin e per fornire la chiave utilizzata per il blocco dei dati sul NAS.

Allo stato attuale non è ancora chiaro se gli autori del ransomware abbiamo sfruttato qualche vulnerabilità insita nei NAS Synology oppure se gli utenti sinora vittime dell’aggressione siano stati indotti ad eseguire codice nocivo.

Il suggerimento, per il momento, è quello di procedere con l’installazione dell’ultima versione del software DSM di Synology, bloccare tutti i servizi del NAS accessibili da remoto e, ove possibile, disconnettere temporaneamente il NAS dalla rete fintanto che non sarà fatta luce su quanto accaduto in queste ore.