Synology PSIRT (Product Security Incident Response Team) ha recentemente rilevato un aumento di attacchi di forza bruta contro i dispositivi Synology. I team di sicurezza dell’azienda ritengono che la botnet sia controllata principalmente da una famiglia malware chiamata “StealthWorker”. Al momento, Synology PSIRT non ha rilevato segnali che indichino che il malware stia sfruttando qualche vulnerabilità del software.
Questi attacchi si avvalgono di dispositivi già infetti per compromettere le credenziali di amministratore più comuni di sistemi non violati e, una volta entrati, installare il loro payload nocivo che può includere dei ransomware. I dispositivi infetti possono effettuare ulteriori attacchi verso altri dispositivi Linux, compresi i NAS di Synology.
Synology PSIRT sta lavorando con le organizzazioni CERT pertinenti per scoprire e chiudere i server C&C (comando e controllo) all’origine del malware e, al tempo stesso, sta notificando proattivamente i clienti potenzialmente affetti.
Synology consiglia fortemente agli amministratori di tutti i sistemi di individuare credenziali d’amministratore deboli, abilitare il blocco automatico e la protezione account e impostare un’autenticazione a più passaggi, dove possibile.
Gli amministratori di sistema che hanno identificato attività sospette nei loro dispositivi, dovrebbero contattare immediatamente il supporto tecnico di Synology.
