• IT-Karriere:
  • Services:

Ransomware: Nextcry hat es auf Nextcloud-Installationen abgesehen

Die Ransomware Nextcry verschlüsselt die Daten im Cloudspeicher von Nextcloud-Installationen. Auf den Server gelangt sie nicht über die Nextcloud, sondern über eine bereits gepatchte Sicherheitslücke in PHP.

Artikel veröffentlicht am ,
Eine Ransomware hat es auf Nextcloud abgesehen.
Eine Ransomware hat es auf Nextcloud abgesehen. (Bild: Nextcloud)

Die Ransomware Nextcry hat es auf Nextcloud-Installationen abgesehen und wurde bereits in freier Wildbahn gesichtet. Die Ransomware verschlüsselt die Dateien im Cloudspeicher mit dem Verschlüsselungsalgorithmus AES und löscht Ordner und Dateien, die bei der Wiederherstellung der Daten helfen können. Laut den Nextcloud-Entwicklern soll die Ransomware über eine Sicherheitslücke, die nicht in Nextcloud steckt und bereits geschlossen wurde, auf die Server gelangen. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. Kassenärztliche Vereinigung Mecklenburg-Vorpommern, Schwerin
  2. Universitätsstadt Tübingen, Tübingen

Der Sicherheitsforscher Michael Gillespie untersuchte eine Kopie der Ransomware. Laut Gillespie handelt es sich um ein Pythonscript, welches in eine ausführbare Datei umgewandelt wurde. Gelangt die Ransomware auf den Server, verschlüsselt sie die Nextcloud-Dateien per AES mit einem 256-Bit-Schlüssel, welcher wiederum mit einem in der Ransomware hinterlegten RSA-2048-Bit-Key verschlüsselt wird. Die Ransomware fordert 0,025 Bitcoin - knapp 200 Euro - Lösegeld.

Nextcry nutzt bereits gepatchte Sicherheitslücke in PHP-FPM unter NGINX

Anfangs war unklar, wie die Ransomware Nextcry auf die Server gelangen konnte. Im Forum von Bleepingcomputer meldeten sich Nutzer, deren Nextcloud-Installationen von der Ransomware befallen waren und die auf den Webserver NGINX setzen. Bleepingcomputer vermutete daher, dass die Ransomware auf eine Sicherheitslücke in dem FastCGI-Prozessmanager PHP-FPM (CVE-2019-11043), der PHP-Anwendungen beschleunigt, im Zusammenspiel mit NGINX setzte. Nextcloud warnte bereits vor einem Monat vor der Sicherheitslücke, die die Standardinstallation von Nextcloud unter NGINX betrifft. Die Lücke wurde im Oktober veröffentlicht und geschlossen.

Die Nextcloud-Entwickler bestätigten gegenüber Bleepingcomputer, dass diese Lücke das Einfallstor für die Ransomware sei. Mit PHP-FPM ließ sich im Zusammenspiel mit NGINX unter bestimmten Bedingungen Code auf dem Server ausführen. Nextcloud hatte daher bereits im Oktober dringend zu einem Update sowie einer Anpassung der Konfiguration geraten. Nextcloud-Betreiber, die ihre Installation entsprechend angepasst und aktuell halten, sollten daher nicht von Nextcry befallen werden. Gleiches gilt für Installationen, die auf Apache oder einen anderen Webserver setzen oder NGINX ohne PHP-FPM verwenden. Laut Nextcloud wurde ein Angriff nur bei zwei der über 300.000 Nextcloud-Installationen bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,49€
  2. 29,99€
  3. 4,99€
  4. (-79%) 5,99€

Joker86 20. Nov 2019 / Themenstart

Der Entwickler von NextcloudPi findet es eine gute Idee ^^ https://help.nextcloud.com/t...

Kommentieren


Folgen Sie uns
       


Parksensor von Bosch ausprobiert

Wenn es darum geht, Autofahrer auf freie Parkplätze zu lotsen, lassen sich die Bosch-Sensoren sinnvoll einsetzen.

Parksensor von Bosch ausprobiert Video aufrufen
Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

    •  /