StorageCrypt: Ransomware infiziert NAS-Geräte via SambaCry-Lücke

Eine neue Erpresser-Malware soll gezielt Network-Attached-Storage-Systeme (NAS) angreifen, um die darauf befindlichen Dateien zu verschlüsseln und anschließend ein Lösegeld zu fordern. Das geht aus einem Beitrag hervor, den das Team der IT-News-Webseite Bleepingcomputer als Reaktion auf mehrere Support-Anfragen betroffener Nutzer veröffentlichte.

Demnach nutzt die als StorageCrypt oder auch Storagecrypter bezeichnete Ransomware die im Mai dieses Jahres entdeckte SambaCry-Lücke, um auf NAS-Geräte zu gelangen. SambaCry (CVE-2017-7494) ist eine Schwachstelle in der Unix-Umsetzung des Filesharing-Protokolls SMB in Samba-Versionen ab 3.5.0. Die Versionen 4.4.14, 4.5.10 und 4.6.4 sind abgesichert. SambaCry ermöglicht einem entfernten Angreifer das Ausführen beliebigen Programmcodes auf sicherheitsanfälligen Servern.

Ob sich unter den bisherigen Opfern von StorageCrypt auch deutsche Nutzer befinden, geht aus dem Beitrag nicht hervor; auch Angaben zu Infektionszahlen fehlen. Die Beiträge im Supportforum von Bleepingcomputer belegen allerdings, dass der Schädling bereits seit mindestens Ende November sein Unwesen treibt.

Bescheidenheit? Nein danke

Laut Bleepingcomputer landet im Anschluss an den erfolgreichen SambaCry-Exploit eine erste Schadcode-Datei unter dem Namen apaceha im "/tmp"-Ordner attackierter NAS-Geräte. Dabei handelt es sich mutmaßlich entweder um den StorageCrypt-Installer oder um eine Backdoor, die den Angreifern zu einem späteren Zeitpunkt erneuten Zugriff gewähren soll. Die Malware platziert außerdem eine exe-Datei, die mit den chinesischen Schriftzeichen für "Die Schöne und das Biest" benannt ist, sowie eine autorun.inf in jedem einzelnen NAS-Ordner. So versucht sie, weitere Rechner zu infizieren, die darauf zugreifen.

Die Ransomware verschlüsselt sämtliche Dateien auf dem NAS-Gerät und versieht sie mit der Endung ".locked". Zusätzlich legt sie eine Textdatei namens _READ_ME_FOR_DECRYPT an, in der die Erpresser für die Entschlüsselung 2 Bitcoins verlangen, was nach aktuellem Wechselkurs mehr als 25.000 Euro entspricht. Die Erpresserbotschaft enthält neben einer Bitcoin-Adresse der Kriminellen auch eine E-Mail-Adresse, an die sich Betroffene im Anschluss an die Zahlung wenden sollen, um Hilfe bei der Entschlüsselung zu erhalten. Weiterhin ist dem Text zu entnehmen, dass die Verschlüsselung angeblich mittels RSA-4096 und AES-256 erfolgt. Ob dies tatsächlich zutrifft, ist bislang ebenso unklar wie die Erfolgsaussichten der Entschlüsselung.

Firmware-Updates schützen vor SambaCry

StorageCrypt ist nicht die erste Malware, die SambaCry als Angriffsvektor nutzt: Unter anderem brach bereits im Juni ein Trojaner in Linux-Server ein, um deren Rechenkapazitäten zum Schürfen der Kryptowährung Monero zu nutzen.

Übers Internet erreichbare NAS-Systeme sollte man grundsätzlich durch eine Firewall sowie ein VPN für sicheren Fernzugriff absichern. Gezielten Schutz vor StorageCrypt bietet oftmals eine Aktualisierung der Firmware: Viele namhafte Gerätehersteller wie etwa Buffalo, Seagate, Synology, Netgear und QNAP haben die SambaCry-Lücke in den vergangenen Monaten geschlossen. (ovw)