Ransomware gesichtet
eCh0raix: QNAP-Nutzer kämpfen mit Erpressungstrojaner
Anwender der Netzwerkspeichers von QNAP können derzeit Gefahr, laufen Opfer des Erpressungstrojaners eCh0raix zu werden.
Darauf macht heute der Hersteller selbst aufmerksam und ruft seine Nutzer zum Ergreifen grundlegender Sicherheitsmaßnahmen auf, die dem Befall des eigenen NAS-Systems vorbeugen sollen.
QNAP reagiert seinem Hinweis auf mehrere dokumentierte Angriffe von „eCh0raixs“. Die Ransomware verschlüsselt Benutzerdaten und fordert anschließend Lösegeld für eine Entschlüsselung. Gleichzeitig arbeitet QNAP „mit Hochdruck“ an einer Lösung zur Entfernung der Malware von betroffenen Geräten.
Laut Anwenderberichten arbeiten die infizierten NAS-Systeme entweder mit älteren Versionen von QTS oder hatten mehrere nicht erkannte Anmeldeversuche aufgezeichnet, bevor „eCh0raix“ mit der Verschlüsselung der Benutzerdaten beginnen konnte.
Um Brute-Force-Angriffe zu verhindern, sollten Nutzer generell ein sicheres Passwort verwenden. Anwender können das Risiko eines Angriffes durch „eCh0raix“ zudem minimieren, wenn sie folgende Maßnahmen ergreifen:
- Malware Remover auf die neueste Version aktualisieren
- Ein stärkeres Admin-Passwort verwenden
- Netzwerkzugriffsschutz aktvieren, um Konten vor Brute-Force-Angriffen zu schützen.
- SSH- und Telnet-Dienste deaktivieren, wenn sie nicht verwendet werden.
- Vermeiden, die Standardportnummern 443 und 8080 zu verwenden.
Online hat QNAP Sicherheitshinweise zum Fall eCh0raix veröffentlicht.
Danke für den Hinweis.
Hallo zusammen,
Kann jemand was zu Synology sagen?
Hab leider nix bei Google gefunden zu dem Thema und Synology.
Bin für jeden Hinweis dankbar.
Gruß
Hightower
Dann wird das wohl dieses Produkt nicht betreffen.
Siehe ifun Beitrag von 18.48!
selbst schuld wer sein NAS ohne VPN ins Netz hängt…
Hoffentlich wird es teuer für die Leute :)
Wieso wünschst du Menschen etwas schlechtes, die es vielleicht einfach nicht besser wussten?
Weil es immer diese Keine-Freunde-Arschloch-Menschen gebe wird.
Wer handwerklich nicht begabt ist und keine Ahnung von Autos hat, sollte bei seinem Auto auch nicht die Bremsen tauschen.
Genau so sollte es sich mit IT Equipment verhalten. Wer keine Ahnung hat, sollte sich Hilfe holen, oder bewusst ein Risiko eingehen.
Ganz davon abgesehen gibt es nur zwei Arten von Daten: Unwichtige und die, von denen es ein Backup gibt.
Zufall… Oder auch nicht?
Mitte Juni und Anfang Juli habe ich ebenfalls zwei „Attacken“ auf einen meiner zwei QNAP-Server bemerkt. Im Verbindungsprotokoll war klar erkennbar, dass jemand versucht hat sich mit dem „admin“ – User Zugang zu verschaffen. Einmal über einen Frankfurter, das andere mal über einen russischen Server. Auffällig war, dass ich an beiden Tagen kurz vorher den DDNS – Zugriff über myQNAPcloud aufgemacht habe. Über die anderen DDNS-Server hatte ich das Problem bisher noch nicht. Ich rate da mal ein Auge drauf zu werfen und im Augenblick sehr vorsichtig zu sein.
Grüße
Bavarian MadMax
PS: Bemerkung an tomtim:
Es kann ja nicht jeder so ein ausgefuchster IT-Profi sein wie Du ;-) Aber muss man deswegen den anderen gleich das schlimmste Wünschen?
Hallo Madmax,
sorry, war ironisch… DDNS nutzt man doch besser über einen eigenen Dienst. Das ist sicherer. Siehe den Fritzbox Dienst, der wurde auch schon mal gehackt.
Ich verwende https://dyndnsfree.de für kleines Geld habe ich da ca. 20 Leute mit Fritzboxen Unifi Geräten hinterlegt. Damit können die Leute immer zu Hause auf ihr VPN zugreifen.
Auch synology scheint im Visier zu sein. Siehe den Facebook Artikel
https://www.facebook.com/1593349060924080/posts/2417135181878793?s=1520628028&sfns=mo
Danke für den Hinweis. Die bruteforce Attacke hatte ich schon auf dem Schirm. Aber die Attacke mit der Verschlüsselung die auch linux Systeme angreift eben nicht.
Danke dank
Werde dann meine NAS mal vom Internet trennen und nur noch per VPN drauf zugreifen.
Misanthrop!
Gibt es denn genauere Informationen welcher Angriffsvektor genutzt wurde. Brut force oder eine sicherheitslücke?
Alles kein Thema: anderes Benutzerkonto mit anderem Namen als „admin“ und sicheres langes Passwort mit Sonderzeichen und schon geht die Attacke ins leere und anschließend wird nach drei Versuchen die IP geblockt und gut. Wer da nicht wenigstens ein gescheites Password verwendet, ist selbst schuld und muss für seine Dummheit ggf. zahlen. Ist eben so.