Angriffe auf NAS von Synology und QNAP

Ransomware Angriffe auf NAS von Synology und QNAP

Wer sich in diesem Moment umdreht, um die hinter seinem Schreibtisch im Regal positionierte NAS kritisch zu begutachten, sollte die nachfolgenden Zeilen aufmerksam lesen. Denn derzeit finden vermehrte Angriffe auf NAS von Synology und QNAP statt, die direkt an das Internet angebunden sind und beispielsweise als VPN-, Web- oder Medienserver fungieren.

Dabei sind die beliebten Netzwerkspeicher (NAS) der beiden Hardware-Hersteller nicht nur in kleinen Unternehmen  im Einsatz, sondern werden auch immer häufiger in mittelständischen und größeren Unternehmen eingesetzt, um unabhängige Multi-Bay-Backup-Lösungen oder separierte Medienserver für kleinere Abteilungen einrichten zu können. Eines der beliebtesten Geräte ist wohl mit Abstand die 4-Bay NAS* sowie die 2-Bay NAS von Synology* , zu der wir zeitnah einen detaillierten Testbericht veröffentlichen.

Allerdings hat die Beliebtheit auch ihre Schattenseiten. Denn längst nicht in allen Unternehmen werden die verbauten NAS-Systeme kontinuierlich gewartet und mit Updates versorgt. Das kann fatal für die IT-Sicherheit im Unternehmen sein.

Angriffe auf NAS von Synology und QNAP laufen automatisiert ab

Entwarnung vorab: Die aktuellen Angriffe auf NAS von Synology und QNAP werden nicht von blassen Nerds aus Kellergebäuden im Untergrundviertel von Moskau händisch ausgeführt, sondern laufen vielmehr automatisiert über Schadcode ab, der mit Hilfe von weitreichenden Botnetz-Strukturen und gewaltsamer Brute-Force wiederholte Angriffsversuche auf die Netzwerkspeicher startet. Das ist zwar nicht minder gefährlich, im Wesentlichen sind die Angriffsmuster so aber einfach zu durchschauen und Maßnahmen leicht zu ergreifen.

Sowohl Synology als auch QNAP haben auf Ihren Herstellerseiten bzw. in den sozialen Netzwerken Handlungsempfehlungen abgegeben, die potentielle NAS-Besitzer auf etwaige Kompromittierungsversuche vorbereiten sollen.

Ransomware eCh0raix greift NAS-Systeme von QNAP an

Der taiwanesisches NAS-Hersteller QNAP veröffentlichte kürzlich einen Hinweis, in dem von einer neu entdeckten Ransomware mit dem Namen eCh0raix die Rede ist. Diese Schadsoftware hat es überwiegend auf Geräte des Herstellers abgesehen, die unzureichend gegen klassische Brute-Force Angriffe über Standardbenutzer („admin“) und schwache Passwörter abgesichert sind. Auch ungepatchte Schwachstellen auf älteren Geräten sind ein Risiko, deshalb sollten Admins und NAS-Besitzer unbedingt die folgenden Schritte überprüfen, die QNAP in seinen offiziellen Security Advisorys beschreibt:

  • Aktuellste Version des Betriebssystem QTS installieren bzw. darauf updaten
  • Verwendete Admin-Passwörter überprüfen und verstärken
  • Die interne Network Access Protection aktiveren
  • Tool Malware Remover installieren oder updaten
  • Die Nutzung des Default Ports 8080 und 443 vermeiden
  • SSH und Telnet deaktivieren, falls nicht benötigt

Verzichten betroffene Admins auf eine Überprüfung, steigt das Risiko für die Infektion mit der Ransomware eCh0raix. Der Infektionsverlauf nimmt dabei allerdings keine völlig unbekannten Muster ein: Zunächst verschlüsselt die aktivierte Ransomware Dateien mit spezifischen Dateiendungen oder ganze Dateisammlung auf über das Netzwerk erreichbaren Partitionen, während die Ransomware permanenten Kontakt mit dem Command-and-Control Server hat.

Am Ende werden die bekannten Erpressermeldungen auf dem System abgelegt, die ihr Opfer zur üblichen Lösegeldzahlung via Bitcoin Wallet erpressen will.

Die Sicherheitsplattform Anomali hat die Ransomware genauer analysisiert und zeigt auf den beiden nachfolgenden Screenshots

Ransomware Angriffe auf NAS von Synology und QNAP mit Lösegeldforderung

Lösegeldforderung auf QNAP-System (© Anomali)

eCh0raix instance check (© Anomali)

eCh0raix instance check (© Anomali)

Interessanterweise sind die infizierten Systeme aus der Ukraine und Weißrussland nicht von der Verschlüsselung durch die Ransomware betroffen, so Anomali. Ein Schelm, wer böses denkt!

Synology hält sich bedeckt

NAS-Hersteller Synology hält sich im Gegensatz zu QNAP recht bedeckt was Handlungsempfehlungen angeht. Vermutlich sind bisher nur vermehrte Brute-Force-Angriffe registriert, die über einfache Mechanismen und eine sichere Passwort-Struktur recht effizient unterbunden werden könne. Dennoch empfiehlt der Hersteller, dass betroffene Kunden alle standardmäßig genierten Admin-Accounts im internen Disk-Station Manager von Synology überprüft und ggf. deaktiviert werden sollten, um das Risiko für eine Infektion zu vermindern.

/von
Das könnte Dich auch interessieren
Erpressungstrojaner Grandcrab verbreitet sich Erpressungstrojaner Grandcrab breitet sich aus
10 Tipps für mehr IT-Sicherheit in kleinen und mittelständischen Unternehmen 10 Tipps für mehr IT-Sicherheit in kleinen Unternehmen
Wireless Presenter hacken Gängige Wireless Presenter lassen sich hacken
Collection 1 bis 5 Data Leak für Logins und Passwörter Passwort-Leaks Collection 1 - 5 - Prävention statt Panik