ThaiCERT ไทยเซิร์ต - ระวังภัย มัลแวร์ SynoLocker แพร่ระบาดบนอุปกรณ์ NAS ของ Synology
Clear
Lead Graphic Papers

ระวังภัย มัลแวร์ SynoLocker แพร่ระบาดบนอุปกรณ์ NAS ของ Synology

วันที่ประกาศ: 5 สิงหาคม 2557
เรื่อง: ระวังภัย มัลแวร์ SynoLocker แพร่ระบาดบนอุปกรณ์ NAS ของ Synology

ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

ในวันที่ 3 สิงหาคม 2557 มีผู้ใช้หลายรายได้รายงานถึงการแพร่ระบาดของมัลแวร์บนอุปกรณ์ประเภท Network-attached Storage (NAS) ที่ผลิตโดยบริษัท Synology Inc. [1] โดยมัลแวร์ดังกล่าวมีชื่อเรียกว่า SynoLocker ซึ่งเป็นมัลแวร์ประเภท Ransomware ที่มีพฤติกรรมในการเข้ารหัสลับข้อมูลที่เก็บอยู่บน NAS เพื่อไม่ให้ผู้ใช้สามารถเข้าถึงข้อมูลของตนได้ จากนั้นมัลแวร์จะแสดงข้อความข่มขู่ให้ผู้ใช้ชำระเงิน เพื่อดำเนินการถอดรหัสลับข้อมูลดังกล่าว

ผู้ใช้จะสามารถสังเกตความผิดปกติระหว่างการใช้งานหาก NAS ติดมัลแวร์ได้ โดยเมื่อผู้ใช้เข้าสู่หน้าหลักของระบบจัดการ จะพบกับข้อความที่แสดงโดยมัลแวร์ ระบุให้ผู้ใช้เข้าไปยังเว็บไซต์ http://cypherxffttr7hho.onion ผ่านโปรแกรม Tor Browser แล้วชำระเงินด้วย Bitcoin เป็นจำนวน 0.6 BTC เพื่อขอรับ Private key ในการถอดรหัสลับข้อมูลดังรูปที่ 1 และ 2


รูปที่ 1 ข้อความที่แสดงโดยมัลแวร์ให้ผู้ใช้ชำระเงิน


รูปที่ 2 ขั้นตอนการชำระเงินบนเว็บไซต์ของผู้ไม่หวังดี (ที่มา: korben.info [2])

ผลกระทบ

ผู้ใช้จะไม่สามารถเข้าถึงข้อมูลที่เก็บอยู่ภายใน NAS ได้

ระบบที่ได้รับผลกระทบ

อุปกรณ์ประเภท NAS ของบริษัท Synology Inc. ที่ติดตั้งระบบปฏิบัติการ DiskStation Manager (DSM) เวอร์ชันต่อไปนี้

- DSM 4.3 รุ่นต่ำกว่า 4.3-3827

- DSM 4.2 หรือ 4.1 รุ่นต่ำกว่า 4.2-3243

- DSM 4.0 รุ่นต่ำกว่า 4.0-2259

ข้อแนะนำในการป้องกันและแก้ไข

ในวันที่ 4 สิงหาคม 2557 ทาง Synology ได้ประกาศผ่านทางเว็บไซต์ทางการเกี่ยวกับมัลแวร์ดังกล่าว โดยแนะนำให้ผู้ใช้ปิดการทำงานของ NAS ทันทีที่พบว่าติดมัลแวร์ เพื่อหยุดการทำงานของมัลแวร์ที่กำลังเข้ารหัสลับข้อมูลในเครื่อง และติดต่อฝ่าย Support ของ Synology เพื่อให้เจ้าหน้าที่ตรวจสอบและวิเคราะห์ต่อไป [3]

ต่อมาในวันที่ 5 สิงหาคม 2557 ทาง Synology ได้มีการระบุเพิ่มเติมว่า ช่องโหว่ที่มัลแวร์ใช้โจมตีเป็นช่องโหว่ที่ถูกแก้ไขไปแล้วตั้งแต่เดือนธันวาคม 2556 และแนะนำให้ผู้ที่ยังไม่ได้อัปเดตระบบปฏิบัติการของ NAS ในช่วงเวลาดังกล่าว ทำการอัปเดตระบบปฏิบัติการให้เป็นรุ่นล่าสุดเพื่อป้องกันการโจมตีของมัลแวร์

จากข้อมูลข้างต้น ไทยเซิร์ตแนะนำให้ผู้ใช้ NAS ของ Synology ทำการอัปเดตระบบปฏิบัติการของ NAS ให้เป็นรุ่นล่าสุด โดยอ้างอิงหมายเลขรุ่นจากเว็บไซต์ทางการของ Synology [4] ตลอดจนพิจารณาปิดกั้นการเชื่อมต่อ ไม่ให้ผู้ใช้งานบนอินเทอร์เน็ตสามารถเข้าถึง NAS ได้โดยตรง แต่ให้เชื่อมต่อผ่านบริการ VPN ที่ไม่ได้ทำงานอยู่บน NAS ดังกล่าว เช่น บริการ VPN ของเราเตอร์ในระบบเครือข่าย หรือ OpenVPN เท่านั้น นอกจากนี้ควรเปลี่ยนรหัสผ่านผู้ใช้งานให้มีความแข็งแรงมากขึ้น ทั้งนี้หากมีความคืบหน้าประการใด ไทยเซิร์ตจะนำข้อมูลมาอัปเดตให้ทราบอีกครั้ง โดยสามารถติดตามข่าวสารต่าง ๆ ผ่านทาง Twitter ของไทยเซิร์ตได้ที่ @ThaiCERT [5]

อ้างอิง

  1. http://forum.synology.com/enu/viewtopic.php?f=3&t=88716
  2. http://korben.info/synolocker.html
  3. http://forum.synology.com/enu/viewtopic.php?f=108&t=88770#p333891
  4. http://www.synology.com/en-global/support/download
  5. https://twitter.com/thaicert
Clear