Ransomware: Qnap-NAS werden mit Zero Day angegriffen

Die Ransomware-Gruppe Deadbolt verschlüsselt NAS-Geräte von Qnap nach eigenen Angaben über eine bis dato unbekannte Sicherheitslücke.

Artikel veröffentlicht am ,
Eine Ransomware bedroht NAS-Geräte von Qnap.
Eine Ransomware bedroht NAS-Geräte von Qnap. (Bild: Qnap/Montage: Golem.de)

Eine neue Ransomware mit dem Namen Deadbolt verschlüsselt NAS-Geräte von Qnap. Dazu verwendet sie wohl eine bis dato ungepatchte Sicherheitslücke, eine sogenannte Zero Day. Die Angriffe auf die NAS-Geräte sollen am 25. Januar 2022 gestartet haben. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. Mitarbeiter*in im Bereich IT- & Medientechnik mit dem Schwerpunkte Systemadministration
    Pädagogische Hochschule Weingarten, Weingarten
  2. Solution Architect Video und Unified Communications (w/m/d)
    Dataport, Altenholz/Kiel, Bremen, Halle (Saale), Hamburg, Magdeburg, Rostock
Detailsuche

Die Dateien auf den Qnap-Geräten werden demnach verschlüsselt und mit der Dateiendung .deadbolt versehen. Die Schadsoftware kapert zudem die Anmeldeseite der NAS-Geräte und gibt dort eine Meldung aus: "WARNUNG: Ihre Dateien wurden von Deadbolt blockiert".

Dort erklärt die Ransomware-Gruppe weiter, dass es sich nicht um einen persönlichen Angriff handelt, sondern der Angriff wegen "inadäquater Sicherheitsmaßnahmen des Herstellers (Qnap)" durchgeführt wurde. Außerdem verlangt die Ransomware-Gruppe ein Lösegeld über 0,03 Bitcoin, was derzeit knapp 1.000 Euro entspricht. Dieses soll an eine individuell für jeden Schadsoftwarebefall angelegte Bitcoin-Wallet gesendet werden. An diese Adresse würde anschließend in einer Folgetransaktion der Key zur Entschlüsselung der Dateien gesendet, behauptet die Ransomware-Gruppe.

Nicht nur von den Qnap-Kunden verlangt die Ransomware-Gruppe Geld für einen Entschlüsselungs-Key, auch dem Hersteller selbst bietet die Gruppe einen Hauptschlüssel für 5 Bitcoins, derzeit etwa 165.000 Euro, an: "Sie erhalten einen universellen Entschlüsselungs-Hauptschlüssel (und Anweisungen), mit dem Sie alle Dateien Ihrer Kunden entsperren können. Außerdem werden wir Ihnen alle Details über die Zero-Day-Schwachstelle an security@qnap.com schicken", schreibt Deadbolt.

Qnap TS-253D J4125 Ethernet LAN Tower Black NAS TS-253D, NAS, W125780866 (Tower Black NAS TS-253D, NAS, Tower, Intel© Celeron©, J4125, Black)

NAS von Qnap derzeit besser nicht am Internet betreiben

Golem Akademie
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    , Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, virtuell
Weitere IT-Trainings

Laut Qnap lässt sich der Login-Bildschirm trotz des Schadsoftwarebefalls über die URL http://<NAS-IP>:8080/cgi-bin/index.cgi oder https://<NAS-IP>/cgi-bin/index.cgi weiterhin aufrufen. So können Betroffene weiterhin Zugang zur Verwaltungsoberfläche der NAS-Geräte erhalten. Die betroffenen Dateien bleiben jedoch weiterhin verschlüsselt.

Da die Ransomware-Gruppe eine Zero Day benutzt, wird Qnap-Besitzern, die ihre NAS-Geräte direkt am Internet betreiben, empfohlen, diese aus dem Netz zu nehmen und beispielsweise nur über das lokale Netzwerk beziehungsweise einen VPN-Zugang verfügbar zu machen. Dann müssen potenzielle Angreifer zuerst in das lokale Netzwerk vordringen, bevor sie das Gerät angreifen können. Auch Qnap selbst warnt vor Geräten, die direkt am Internet hängen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Potrimpo 31. Jan 2022

" Es wird immer gewarnt".... Ist das so präsent wie der Enkel-Trick? Ich kenne zig Leute...

Peter1965 28. Jan 2022

Korrekt. Aber man verhindert damit unter Umständen, dass ein Fremder mit den...

Gorgsenegger 28. Jan 2022

Ich kann zumindest sagen, dass Synology nach wie vor regelmäßig für mein fast-uralt-NAS...

narfomat 28. Jan 2022

???????????????????????????????????????????????????????????????? wat? du hast doch grade...



Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  2. Geräuschbelästigung: Sogar Elektroautos können laut Gerichtsurteil zu laut sein
    Geräuschbelästigung
    Sogar Elektroautos können laut Gerichtsurteil zu laut sein

    Leise fahrende Elektroautos können trotzdem ein Ärgernis sein - wenn die Benutzer die Türen zuschlagen. Deshalb verbot ein Gericht Hofparkplätze.

  3. Milliarden-Übernahme: Musk spricht von günstigerem Übernahmeangebot für Twitter
    Milliarden-Übernahme  
    Musk spricht von günstigerem Übernahmeangebot für Twitter

    Mit Blick auf die Zählung von Spam-Konten bei Twitter hat Elon Musk gefragt, ob die mehr als 200 Millionen Twitter-Nutzer angerufen worden seien.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /