In Meldungen auf der QNAP-Webseite beziehungsweise in Posts in einem Post auf Facebook haben sowohl Synology als auch QNAP vor Angriffen gewarnt. Derzeit versucht ein Botnetz, durch Ausprobieren (Brute Force), die Passwörter von NAS-Systemen zu erraten. Ist es gelungen, ein Passwort erfolgreich zu raten, wird automatisch eine Ransomware namens eCh0raix auf dem NAS installiert, welche bestimmte Dateien verschlüsselt und ein Lösegeld für die Entschlüsselung verlangt. Es werden zahlreiche Dateitypen verschlüsselt, darunter auch MP3- und JPG-Dateien. Eine ausführliche technische Analyse der Ransomware findet sich bei unseren Kollegen von Anomali.
Alternativ versucht das Botnetz auch, bekannte Schwachstellen in der Firmware einiger Geräte auszunutzen, um die Ransomware dort zu plazieren.
Plötzlich ohne Sicherung
Besonders problematisch ist eine auf NAS-Systeme spezialisierte Ransomware vor allem deshalb, weil in vielen Fällen Datensicherungen auf einem NAS abgelegt werden. Bleibt eine Infektion mit eCh0raix unbemerkt, ist im schlimmsten Fall ein kritisches Backup zerstört und der Betroffene merkt dies erst, wenn er genau dieses Backup dringend benötigt. Bequemlichkeit wird hier den Betroffenen zum Verhängnis: wenn eine werksseitig gesetzte und unsichere Konfiguration jahrelang im Produktivbetrieb genutzt wird, öffnet das genau dieser Art von Angriffen Tür und Tor. Gerade Standardpasswörter gehören zu den ersten Dingen, die ein Angreifer ausprobiert. Diese Passwörter sind in der Regel gut dokumentiert und in jedem Handbuch des jeweiligen Herstellers zu finden. Die meisten Hersteller sind nicht dafür bekannt, werksseitig sichere Passwörter zu vergeben. Dasselbe Standardpasswort für die Produkte wird oft über Jahre oder gar Jahrzehnte verwendet.
Was sind NAS-Systeme?
NAS-Systeme (Network Attached Storage; etwa „Ans Netzwerk angeschlossener Speicher“) werden dort eingesetzt, wo große Datenmengen für mehrere Nutzer zugänglich sein müssen oder wo der Transport von Datenträgern logistisch nicht sinnvoll ist. Auch für Datensicherungen oder Zusammenarbeit aus der Ferne werden oft NAS-Systeme benutzt. Es gibt sie sowohl für Firmennetzwerke zur Unterbringung in einem Serverraum als auch für den Heimanwender als kleine, leise und unauffällige Einheit, die bequem auf oder unter den Schreibtisch passt.
So verhindern Sie, dass Ihr NAS infiziert wird
Die Angriffe betreffen NAS-Systeme, die an das Internet angebunden sind. Daher empfehlen die Hersteller einige Sicherheitsmaßnahmen zu ergreifen, um die Angriffe ins Leere laufen zu lassen.
- Wer noch das Werksseitig vorhandene eingebaute „Admin“- Passwort gesetzt hat, sollte dies sofort ändern.
- Bestimmte Dienste sollten deaktiviert werden, sofern sie nicht benötigt werden (zum Beispiel telnet oder ssh).
- Sofern Sie das NAS nicht unbedingt über das Internet erreichen müssen, deaktivieren Sie die entsprechenden Funktionen.
- Installieren Sie die jeweils aktuellste Firmware des Herstellers.
