Ransomware: Nextcry hat es auf Nextcloud-Installationen abgesehen

Die Ransomware Nextcry verschlüsselt die Daten im Cloudspeicher von Nextcloud-Installationen. Auf den Server gelangt sie nicht über die Nextcloud, sondern über eine bereits gepatchte Sicherheitslücke in PHP.

Artikel veröffentlicht am ,
Eine Ransomware hat es auf Nextcloud abgesehen.
Eine Ransomware hat es auf Nextcloud abgesehen. (Bild: Nextcloud)

Die Ransomware Nextcry hat es auf Nextcloud-Installationen abgesehen und wurde bereits in freier Wildbahn gesichtet. Die Ransomware verschlüsselt die Dateien im Cloudspeicher mit dem Verschlüsselungsalgorithmus AES und löscht Ordner und Dateien, die bei der Wiederherstellung der Daten helfen können. Laut den Nextcloud-Entwicklern soll die Ransomware über eine Sicherheitslücke, die nicht in Nextcloud steckt und bereits geschlossen wurde, auf die Server gelangen. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. Projektmanagerin / Projektmanager bzw. Product Managerin / Product Manager für Digitalprodukte ... (m/w/d)
    Bundesanstalt für Immobilienaufgaben, Bonn
  2. Java Developer (m/w/d)
    Governikus GmbH & Co. KG, Bremen, Berlin, Erfurt, Köln (Home-Office möglich)
Detailsuche

Der Sicherheitsforscher Michael Gillespie untersuchte eine Kopie der Ransomware. Laut Gillespie handelt es sich um ein Pythonscript, welches in eine ausführbare Datei umgewandelt wurde. Gelangt die Ransomware auf den Server, verschlüsselt sie die Nextcloud-Dateien per AES mit einem 256-Bit-Schlüssel, welcher wiederum mit einem in der Ransomware hinterlegten RSA-2048-Bit-Key verschlüsselt wird. Die Ransomware fordert 0,025 Bitcoin - knapp 200 Euro - Lösegeld.

Nextcry nutzt bereits gepatchte Sicherheitslücke in PHP-FPM unter NGINX

Anfangs war unklar, wie die Ransomware Nextcry auf die Server gelangen konnte. Im Forum von Bleepingcomputer meldeten sich Nutzer, deren Nextcloud-Installationen von der Ransomware befallen waren und die auf den Webserver NGINX setzen. Bleepingcomputer vermutete daher, dass die Ransomware auf eine Sicherheitslücke in dem FastCGI-Prozessmanager PHP-FPM (CVE-2019-11043), der PHP-Anwendungen beschleunigt, im Zusammenspiel mit NGINX setzte. Nextcloud warnte bereits vor einem Monat vor der Sicherheitslücke, die die Standardinstallation von Nextcloud unter NGINX betrifft. Die Lücke wurde im Oktober veröffentlicht und geschlossen.

Die Nextcloud-Entwickler bestätigten gegenüber Bleepingcomputer, dass diese Lücke das Einfallstor für die Ransomware sei. Mit PHP-FPM ließ sich im Zusammenspiel mit NGINX unter bestimmten Bedingungen Code auf dem Server ausführen. Nextcloud hatte daher bereits im Oktober dringend zu einem Update sowie einer Anpassung der Konfiguration geraten. Nextcloud-Betreiber, die ihre Installation entsprechend angepasst und aktuell halten, sollten daher nicht von Nextcry befallen werden. Gleiches gilt für Installationen, die auf Apache oder einen anderen Webserver setzen oder NGINX ohne PHP-FPM verwenden. Laut Nextcloud wurde ein Angriff nur bei zwei der über 300.000 Nextcloud-Installationen bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Militärischer Weitblick in Toys (1992)
Ein vergessener, wenngleich prophetischer Film

Der Kinofilm Toys von 1992 ist heute weitgehend vergessen. Zu Unrecht, gab er doch eine erstaunlich gute Prognose darüber ab, wie heutzutage Krieg geführt wird.
Ein IMHO von Mathias Küfner

Militärischer Weitblick in Toys (1992): Ein vergessener, wenngleich prophetischer Film
Artikel
  1. Das System E-Mail: Schritt für Schritt vom Sender zum Empfänger
    Das System E-Mail
    Schritt für Schritt vom Sender zum Empfänger

    E-Mail verhalf dem Internet zum Durchbruch, als es noch Arpanet hieß. Zeit für einen Blick auf die Hintergründe dieses Systems - nebst Tipps für einen eigenen Mailserver.
    Von Florian Bottke

  2. Studie: Teams und Slack haben ein Sicherheitsproblem
    Studie
    Teams und Slack haben ein Sicherheitsproblem

    Eine Studie kritisiert Slack und Teams. So könnten Nutzer Apps installieren, die auf Firmendaten zugreifen oder Code in Repositories ändern können.

  3. Digitalwährung: Bundesbank sieht digitalen Euro als wichtige Ergänzung
    Digitalwährung
    Bundesbank sieht digitalen Euro als wichtige Ergänzung

    Auch die deutsche Bundesbank unterstützt den digitalen Euro. Der könnte internationale Abhängigkeiten reduzieren

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Verkauf bei Saturn & Media Markt • CyberWeek: PC-Zubehör, Werkzeug & Co. • Günstig wie nie: Gigabyte RX 6900 XT 864,15€, MSI RTX 3090 1.159€, Fractal Design RGB Tower 129,90€ • MindStar (Palit RTX 3070 549€) • Thrustmaster T300 RS GT 299,99€ • Alternate (iPad Air (2022) 256GB 949,90€) [Werbung]
    •  /