Ransomware: Qnap-NAS werden mit Zero Day angegriffen

Eine neue Ransomware mit dem Namen Deadbolt verschlüsselt NAS-Geräte von Qnap. Dazu verwendet sie wohl eine bis dato ungepatchte Sicherheitslücke, eine sogenannte Zero Day. Die Angriffe auf die NAS-Geräte sollen am 25. Januar 2022 gestartet haben. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Die Dateien auf den Qnap-Geräten werden demnach verschlüsselt und mit der Dateiendung .deadbolt versehen. Die Schadsoftware kapert zudem die Anmeldeseite der NAS-Geräte und gibt dort eine Meldung aus: "WARNUNG: Ihre Dateien wurden von Deadbolt blockiert".

Dort erklärt die Ransomware-Gruppe weiter, dass es sich nicht um einen persönlichen Angriff handelt, sondern der Angriff wegen "inadäquater Sicherheitsmaßnahmen des Herstellers (Qnap)" durchgeführt wurde. Außerdem verlangt die Ransomware-Gruppe ein Lösegeld über 0,03 Bitcoin, was derzeit knapp 1.000 Euro entspricht. Dieses soll an eine individuell für jeden Schadsoftwarebefall angelegte Bitcoin-Wallet gesendet werden. An diese Adresse würde anschließend in einer Folgetransaktion der Key zur Entschlüsselung der Dateien gesendet, behauptet die Ransomware-Gruppe.

Nicht nur von den Qnap-Kunden verlangt die Ransomware-Gruppe Geld für einen Entschlüsselungs-Key, auch dem Hersteller selbst bietet die Gruppe einen Hauptschlüssel für 5 Bitcoins, derzeit etwa 165.000 Euro, an: "Sie erhalten einen universellen Entschlüsselungs-Hauptschlüssel (und Anweisungen), mit dem Sie alle Dateien Ihrer Kunden entsperren können. Außerdem werden wir Ihnen alle Details über die Zero-Day-Schwachstelle an security@qnap.com schicken", schreibt Deadbolt.

Qnap TS-253D J4125 Ethernet LAN Tower Black NAS TS-253D, NAS, W125780866 (Tower Black NAS TS-253D, NAS, Tower, Intel© Celeron©, J4125, Black)

NAS von Qnap derzeit besser nicht am Internet betreiben

Laut Qnap lässt sich der Login-Bildschirm trotz des Schadsoftwarebefalls über die URL http://<NAS-IP>:8080/cgi-bin/index.cgi oder https://<NAS-IP>/cgi-bin/index.cgi weiterhin aufrufen. So können Betroffene weiterhin Zugang zur Verwaltungsoberfläche der NAS-Geräte erhalten. Die betroffenen Dateien bleiben jedoch weiterhin verschlüsselt.

Da die Ransomware-Gruppe eine Zero Day benutzt, wird Qnap-Besitzern, die ihre NAS-Geräte direkt am Internet betreiben, empfohlen, diese aus dem Netz zu nehmen und beispielsweise nur über das lokale Netzwerk beziehungsweise einen VPN-Zugang verfügbar zu machen. Dann müssen potenzielle Angreifer zuerst in das lokale Netzwerk vordringen, bevor sie das Gerät angreifen können. Auch Qnap selbst warnt vor Geräten, die direkt am Internet hängen.