Da alcuni giorni diversi utenti dei prodotti Synology evidenziano tentativi di connessione esterni sui propri NAS, provenienti da tutto il mondo. Cybercriimali stanno provando a collegarsi al DSM, il sistema operativo del produttore. Testimonianze specifiche si si possono trovare su Reddit (qui e qui) e anche su Twitter.
Synology ha confermato l’ondata di attacchi in corso. I ricercatori del team PSIRT (team di risposta agli incidenti di sicurezza del prodotto) dell’azienda riferisco di una una botnet della famiglia StealthWorker .
Gli attacchi non sfrutta alcuna vulnerabilità software ma, come accennato, sfruttano la semplice forza bruta, utilizzando l’approccio della prova e dell’errore con la speranza, alla fine, di indovinare la password per ottenere l’accesso come amministratore. La stategia in questione prevede l’uso di dizionari, partendo da password note e comuni, come le password rubate disponibili online, provando e riprovando fino a trovare una corrispondenza.
Riuscendo a portare a termine l’attacco si installa un payload dannoso e probabilment un ransomware (un malware che cifra i dati chiedendo successivamente un riscatto per lo sblocco). Dai dispositivi infetti è inoltr epossibile lanciare attacchi aggiuntivi su altri dispositivi basati su Linux.
Il produttore sta lavorando per bloccare i server di comando e controllo (C&C) responsabili del malware e avvisare gli utenti potenzialmente interessati. Al momento Synology consiglia di abilitare il blocco automatico (per bloccare un indirizzo IP dopo un numero predefinito di tentativi di accesso) e la protezione dell’account, suggerendo inoltre fortemente di impostare l’autenticazione a più fattori. L’autenticazione a più fattori fornisce ulteriore sicurezza per l’account DSM. Per DSM 7.0 e versioni successive basta andare su Opzioni > Personale > Account > Autenticazione a 2 fattori; per DSM 6.2 e precedenti: andare su Opzioni > Personale > Account, spuntare Abilita verifica in due passaggi.
Sta diventando sempre più complicato difendersi dai ransomware: esistono persino piattaforme RaaS (Ransomware-as-a-Service) su cloud che consentono quasi a chiunque di utilizzare strumenti ransomware, con il conseguente aumento di incidenti informatici provocati da minacce di questo tipo (vedi recente attacco hacker che sta mettendo in seria difficoltà tutti i servizi informatici della regione Lazio).
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.