Ransomware: Qnap-NAS werden mit Zero Day angegriffen

Die Ransomware-Gruppe Deadbolt verschlüsselt NAS-Geräte von Qnap nach eigenen Angaben über eine bis dato unbekannte Sicherheitslücke.

Artikel veröffentlicht am ,
Eine Ransomware bedroht NAS-Geräte von Qnap.
Eine Ransomware bedroht NAS-Geräte von Qnap. (Bild: Qnap/Montage: Golem.de)

Eine neue Ransomware mit dem Namen Deadbolt verschlüsselt NAS-Geräte von Qnap. Dazu verwendet sie wohl eine bis dato ungepatchte Sicherheitslücke, eine sogenannte Zero Day. Die Angriffe auf die NAS-Geräte sollen am 25. Januar 2022 gestartet haben. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. IT-Security Manager (w/m/d)
    Dataport, verschiedene Standorte
  2. Information Security Manager ADC Locations (m/w / diverse)
    Continental AG, Lindau
Detailsuche

Die Dateien auf den Qnap-Geräten werden demnach verschlüsselt und mit der Dateiendung .deadbolt versehen. Die Schadsoftware kapert zudem die Anmeldeseite der NAS-Geräte und gibt dort eine Meldung aus: "WARNUNG: Ihre Dateien wurden von Deadbolt blockiert".

Dort erklärt die Ransomware-Gruppe weiter, dass es sich nicht um einen persönlichen Angriff handelt, sondern der Angriff wegen "inadäquater Sicherheitsmaßnahmen des Herstellers (Qnap)" durchgeführt wurde. Außerdem verlangt die Ransomware-Gruppe ein Lösegeld über 0,03 Bitcoin, was derzeit knapp 1.000 Euro entspricht. Dieses soll an eine individuell für jeden Schadsoftwarebefall angelegte Bitcoin-Wallet gesendet werden. An diese Adresse würde anschließend in einer Folgetransaktion der Key zur Entschlüsselung der Dateien gesendet, behauptet die Ransomware-Gruppe.

Nicht nur von den Qnap-Kunden verlangt die Ransomware-Gruppe Geld für einen Entschlüsselungs-Key, auch dem Hersteller selbst bietet die Gruppe einen Hauptschlüssel für 5 Bitcoins, derzeit etwa 165.000 Euro, an: "Sie erhalten einen universellen Entschlüsselungs-Hauptschlüssel (und Anweisungen), mit dem Sie alle Dateien Ihrer Kunden entsperren können. Außerdem werden wir Ihnen alle Details über die Zero-Day-Schwachstelle an security@qnap.com schicken", schreibt Deadbolt.

Qnap TS-253D J4125 Ethernet LAN Tower Black NAS TS-253D, NAS, W125780866 (Tower Black NAS TS-253D, NAS, Tower, Intel© Celeron©, J4125, Black)

NAS von Qnap derzeit besser nicht am Internet betreiben

Golem Karrierewelt
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Laut Qnap lässt sich der Login-Bildschirm trotz des Schadsoftwarebefalls über die URL http://<NAS-IP>:8080/cgi-bin/index.cgi oder https://<NAS-IP>/cgi-bin/index.cgi weiterhin aufrufen. So können Betroffene weiterhin Zugang zur Verwaltungsoberfläche der NAS-Geräte erhalten. Die betroffenen Dateien bleiben jedoch weiterhin verschlüsselt.

Da die Ransomware-Gruppe eine Zero Day benutzt, wird Qnap-Besitzern, die ihre NAS-Geräte direkt am Internet betreiben, empfohlen, diese aus dem Netz zu nehmen und beispielsweise nur über das lokale Netzwerk beziehungsweise einen VPN-Zugang verfügbar zu machen. Dann müssen potenzielle Angreifer zuerst in das lokale Netzwerk vordringen, bevor sie das Gerät angreifen können. Auch Qnap selbst warnt vor Geräten, die direkt am Internet hängen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Potrimpo 31. Jan 2022

" Es wird immer gewarnt".... Ist das so präsent wie der Enkel-Trick? Ich kenne zig Leute...

Peter1965 28. Jan 2022

Korrekt. Aber man verhindert damit unter Umständen, dass ein Fremder mit den...

Gorgsenegger 28. Jan 2022

Ich kann zumindest sagen, dass Synology nach wie vor regelmäßig für mein fast-uralt-NAS...

narfomat 28. Jan 2022

???????????????????????????????????????????????????????????????? wat? du hast doch grade...



Aktuell auf der Startseite von Golem.de
Optibike
E-Bike mit 480 km Reichweite kostet 17.000 Euro

Das E-Bike Optibike R22 Everest setzt mit seinen zwei Akkus auf Reichweite.

Optibike: E-Bike mit 480 km Reichweite kostet 17.000 Euro
Artikel
  1. Krypto-Kriminalität: Behörden fahnden nach Onecoin-Betrügerin
    Krypto-Kriminalität
    Behörden fahnden nach Onecoin-Betrügerin

    Deutsche und internationale Behörden suchen nach den Hintermännern und -frauen von Onecoin. Der Schaden durch Betrug mit der vermeintlichen Kryptowährung geht in die Milliarden.

  2. Hassrede: Bayern will soziale Netzwerke bestrafen
    Hassrede
    Bayern will soziale Netzwerke bestrafen

    Der bayrische Justizminister fordert, bei der Verbreitung von Hassrede auch die Betreiber von sozialen Medien stärker zur Verantwortung zu ziehen.

  3. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 870 QVO 1 TB 79€ • Prime Video: Filme leihen für 0,99€ • Alternate (u. a. Recaro Rae Essential 429€) • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • SanDisk Ultra microSDXC 256 GB ab 14,99€ • Sackboy 19,99€ [Werbung]
    •  /