Ransomware "NextCry" greift Nextcloud-Server an

Eine Linux-Malware attackiert Nextcloud-Server, um Dateien zu verschlüsseln und Lösegeld zu fordern. Einfallstor ist möglicherweise eine NGINX/PHP-FPM-Lücke.

In Pocket speichern vorlesen Druckansicht 276 Kommentare lesen
Ransomware "NextCry" greift Nextcloud-Server an

(Bild: pixabay (Collage))

Lesezeit: 3 Min.
Inhaltsverzeichnis

Derzeit soll es ein Linux-spezifischer Verschlüsselungstrojaner auf Nextcloud-Server abgesehen haben. , "NextCry" verschlüsselt Dateien im Cloudspeicher mit der Blockchiffre AES (Schlüssellänge 265 Bit) und erzeugt anschließend eine Lösegeldforderung, berichtet die IT-News-Webseite Bleeping Computer. Die Forderung liegt bei 0,025 Bitcoin, was umgerechnet derzeit knapp 191 Euro entspricht. Im Vorfeld der Verschlüsselung soll NextCry zudem mehrere Ordner löschen, die dem Opfer die Wiederherstellung der Daten ohne Lösegeldzahlung ermöglichen könnten.

(Bild: id-ransomware.blogspot.com)

Wie verbreitet der Schädling tatsächlich ist, ist nicht bekannt; ebenso wenig gibt es Informationen darüber, ob auch Nutzer in Deutschland betroffen sind. Threads zu NextCry finden sich sowohl in Bleeping Computers Security-Forum als auch in Nextclouds Supportbereich.

Eine Analyse eines NextCry-Samples auf der Online-Analyseplattform VirusTotal (MD5 8c6ed96e6df3d8a9cda39aae7e87330c / SHA-1 fea280e7f3c06fdeb322b6548bb16a45c4298261) zeigt, dass derzeit nur 18 von 58 Antiviren-Engines den Schädling (oder zumindest dieses spezifische Sample) erkennen.

Mehrere Nutzer aus dem Bleeping-Computer-Forum haben den NextCry-Code – ein zu einer ELF-Datei kompiliertes Python-Skript – näher unter die Lupe genommen. Ihr Fazit: Der Verschlüsselungsmechanismus der Malware sei intakt und "sicher" und eine Entschlüsselung ohne Lösegeldzahlung somit nicht möglich.

Bleeping Computer weist darauf hin, dass der erste Nutzer, der am 9. November im Forum der News-Website von der Infektion berichtete, angab, Nextcloud mit NGINX als Reverse-Proxy zu nutzen.

In diesem Zusammenhang ist ein bereits Ende Oktober von Nextcloud veröffentlichter Sicherheitshinweis interessant. Er betrifft eine mittlerweile gefixte Sicherheitslücke im (für NGINX gebräuchlichen) FastCGI-Prozessmanager PHP-FPM (CVE-2019-11043), die entfernten Angreifern unter eng gesteckten Voraussetzungen die Codeausführung auf verwundbaren Webservern ermöglichte. Exploit-Code ist öffentlich verfügbar.

Nextcloud-Admins können ihre Systeme gegen CVE-2019-11043 absichern, indem sie (wie im Hinweis beschrieben) die PHP-Packages und die NGINX-Konfigurationsdatei updaten. Ob das Update auch vor NextCry schützt oder ob dem Schädling nicht doch eine (möglicherweise noch ungefixte) Schwachstelle in NextCloud als Angriffsvektor dient, ist aber unklar.

Der wirkungsvollste Schutz der eigenen Daten dürfte – wie bei jeder anderen Ransomware auch – in einem regelmäßigen separaten Backup bestehen.

[Update 19.11.19, 14:45:]

Mittlerweile hat Nextcloud ein offizielles Statement veröffentlicht.

Darin zeigen sich die Entwickler davon überzeugt, dass die PHP-Lücke CVE-2019-11043 NextCry als Einfallstor diente. Sie weisen auch darauf hin, dass nur wenige Nextcloud-Nutzer NGINX nutzen und die meisten die verwundbaren Packages wohl schon aktualisiert hätten. Zudem gebe es lediglich zwei ausführliche Angriffsschilderungen.

Obwohl die Angriffe nicht über eine Lücke in Nextcloud selbst stattgefunden habe, hat das Team nach eigenen Angaben Admins über verschiedene Kanäle auf die Gefahr hingewiesen. Weitere Informationen sind dem Statement zu entnehmen.

[/Update]

Mehr zum Thema:

(ovw)