Erpressungstrojaner Cr1ptTor hat es auf NAS von D-Link abgesehen

Einige Besitzer des Netzwerkspeichers (NAS) DNS-320 von D-Link finden auf ihrem Gerät eine Erpresserbotschaft nebst verschlüsselten Dateien vor. Bei den Opfern hat sich der Verschlüsselungstrojaner Cr1ptTor eingeschlichen und Dateien in Beschlag genommen. Den Schlüssel wollen die Erpresser erst nach einer Lösegeldzahlung von rund 1200 US-Dollar in Bitcoin rausrücken.

Sicherheitslücken plus Fernzugriff

Mehrere Opfer diskutieren den Vorfall derzeit im Forum der IT-Nachrichten-Website Bleepingcomputer.com. Aus dem Thread geht hervor, dass der Schädling für Geräte auf ARM- und Linux-Basis zugeschnitten ist. Die Opfer gehen davon aus, dass Cr1ptTor ihre Netzwerkspeicher über eine Sicherheitslücke infiziert hat. Ob noch weitere Geräte bedroht sind, ist derzeit nicht bekannt.

Die betroffenen NAS waren wohl über das Internet erreichbar. Allgemein gilt, dass Geräte, nur wenn unbedingt notwendig, aus dem Internet ansprechbar sein sollten. Ob so eine Funktion aktiv ist, sollte man in den Einstellungen überprüfen. In einigen Fällen ist ein Fernzugriff standardmäßig aktiviert – das wissen viele Nutzer nicht und sie sind so einem erhöhten Angriffsrisiko ausgesetzt.

Wenn ein Gerät zwingend aus dem Internet erreichbar sein muss, sollte man in jedem Fall darauf achten, die Log-in-Daten für den Zugriff zu ändern. Oft weisen Geräte bekannte Standard-Passwörter auf, sodass Angreifer mit wenig Aufwand darauf zugreifen könnten.

Veraltete Firmware

Das DNS-320 befindet sich laut der Produktwebsite nicht mehr im Verkauf, soll aber noch Support bekommen. Der letzte Sicherheitspatch stammt jedoch aus dem Jahr 2016. Es ist davon auszugehen, dass das Gerät über mehrere Schwachstellen attackierbar ist. Eine Antwort auf die Anfrage von heise Security an D-Link steht derzeit noch aus.

Update 03.05.19, 15:11: Mittlerweile hat D-Link Firmware-Updates veröffentlicht. (des)