Ransomware: Qnap-NAS werden mit Zero Day angegriffen

Die Ransomware-Gruppe Deadbolt verschlüsselt NAS-Geräte von Qnap nach eigenen Angaben über eine bis dato unbekannte Sicherheitslücke.

Artikel veröffentlicht am ,
Eine Ransomware bedroht NAS-Geräte von Qnap.
Eine Ransomware bedroht NAS-Geräte von Qnap. (Bild: Qnap/Montage: Golem.de)

Eine neue Ransomware mit dem Namen Deadbolt verschlüsselt NAS-Geräte von Qnap. Dazu verwendet sie wohl eine bis dato ungepatchte Sicherheitslücke, eine sogenannte Zero Day. Die Angriffe auf die NAS-Geräte sollen am 25. Januar 2022 gestartet haben. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. Beschäftigte*r mit abgeschlossener wissenschaftlicher Hochschulbildung (d/m/w) (SAP-Anwendungsbetreuung)
    Technische Universität Berlin, Berlin
  2. IT Projektleiter (m/w/d) interne Digitalisierung
    Dürr IT Service GmbH, Bietigheim-Bissingen
Detailsuche

Die Dateien auf den Qnap-Geräten werden demnach verschlüsselt und mit der Dateiendung .deadbolt versehen. Die Schadsoftware kapert zudem die Anmeldeseite der NAS-Geräte und gibt dort eine Meldung aus: "WARNUNG: Ihre Dateien wurden von Deadbolt blockiert".

Dort erklärt die Ransomware-Gruppe weiter, dass es sich nicht um einen persönlichen Angriff handelt, sondern der Angriff wegen "inadäquater Sicherheitsmaßnahmen des Herstellers (Qnap)" durchgeführt wurde. Außerdem verlangt die Ransomware-Gruppe ein Lösegeld über 0,03 Bitcoin, was derzeit knapp 1.000 Euro entspricht. Dieses soll an eine individuell für jeden Schadsoftwarebefall angelegte Bitcoin-Wallet gesendet werden. An diese Adresse würde anschließend in einer Folgetransaktion der Key zur Entschlüsselung der Dateien gesendet, behauptet die Ransomware-Gruppe.

Nicht nur von den Qnap-Kunden verlangt die Ransomware-Gruppe Geld für einen Entschlüsselungs-Key, auch dem Hersteller selbst bietet die Gruppe einen Hauptschlüssel für 5 Bitcoins, derzeit etwa 165.000 Euro, an: "Sie erhalten einen universellen Entschlüsselungs-Hauptschlüssel (und Anweisungen), mit dem Sie alle Dateien Ihrer Kunden entsperren können. Außerdem werden wir Ihnen alle Details über die Zero-Day-Schwachstelle an security@qnap.com schicken", schreibt Deadbolt.

Qnap TS-253D J4125 Ethernet LAN Tower Black NAS TS-253D, NAS, W125780866 (Tower Black NAS TS-253D, NAS, Tower, Intel© Celeron©, J4125, Black)

NAS von Qnap derzeit besser nicht am Internet betreiben

Golem Akademie
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    01./02.06.2022, Virtuell
Weitere IT-Trainings

Laut Qnap lässt sich der Login-Bildschirm trotz des Schadsoftwarebefalls über die URL http://<NAS-IP>:8080/cgi-bin/index.cgi oder https://<NAS-IP>/cgi-bin/index.cgi weiterhin aufrufen. So können Betroffene weiterhin Zugang zur Verwaltungsoberfläche der NAS-Geräte erhalten. Die betroffenen Dateien bleiben jedoch weiterhin verschlüsselt.

Da die Ransomware-Gruppe eine Zero Day benutzt, wird Qnap-Besitzern, die ihre NAS-Geräte direkt am Internet betreiben, empfohlen, diese aus dem Netz zu nehmen und beispielsweise nur über das lokale Netzwerk beziehungsweise einen VPN-Zugang verfügbar zu machen. Dann müssen potenzielle Angreifer zuerst in das lokale Netzwerk vordringen, bevor sie das Gerät angreifen können. Auch Qnap selbst warnt vor Geräten, die direkt am Internet hängen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Potrimpo 31. Jan 2022

" Es wird immer gewarnt".... Ist das so präsent wie der Enkel-Trick? Ich kenne zig Leute...

Peter1965 28. Jan 2022

Korrekt. Aber man verhindert damit unter Umständen, dass ein Fremder mit den...

Gorgsenegger 28. Jan 2022

Ich kann zumindest sagen, dass Synology nach wie vor regelmäßig für mein fast-uralt-NAS...

narfomat 28. Jan 2022

???????????????????????????????????????????????????????????????? wat? du hast doch grade...



Aktuell auf der Startseite von Golem.de
Nordvpn, Expressvpn, Mullvad & Co
Die Qual der VPN-Wahl

Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
Von Moritz Tremmel

Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Intelligente Tür: Schwachstelle in BLE ermöglicht es, Teslas zu hacken
    Intelligente Tür
    Schwachstelle in BLE ermöglicht es, Teslas zu hacken

    Sicherheitsforscher haben eine neue Schwachstelle bei BLE gefunden. Darüber lassen sich verschiedene Türen öffnen, unter anderem die von einigen Teslas.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /