Jetzt handeln! Erpressungstrojaner DeadBolt hat es auf Qnap NAS abgesehen
Der Hersteller von Netzwerkspeichern (NAS) Qnap warnt abermals vor Ransomware-Attacken und gibt wichtige Tipps zur Absicherung.
(Bild: aslysun/Shutterstock.com)
Erneut nehmen Angreifer NAS-Systeme von Qnap ins Visier und versuchen Malware darauf zu installieren. Sind Attacken erfolgreich, soll der Verschlüsselungstrojaner DeadBolt Daten als Geisel nehmen und Lösegeld fordern.
In einer Warnmeldung ruft Qnap Besitzer von Netzwerkspeichern und Routern des Herstellers zum sofortigen Handeln auf. Die Angreifer haben es auf Systeme abgesehen, die direkt über das Internet erreichbar und ungeschützt sind. Das ist für NAS-Besitzer praktisch, wenn sie etwa von unterwegs Fotos auf dem heimischen Speicher anschauen wollen. Solche Zugänge sind aber oft nicht optimal abgesichert, sodass Angreifer in Systeme einsteigen könnten. In einigen Fällen wissen NAS-Besitzer auch gar nicht, dass ihre Geräte öffentlich erreichbar sind.
NAS abschotten
Qnap rät Besitzern, die Sicherheitsanwendung "Security Counselor" zu öffnen und einen Scan durchzuführen. Steht im Ergebnis, dass das NAS extern via HTTP erreichbar ist, sollte man unbedingt sicherstellen, dass Portweiterleitungen im Router deaktiviert sind. [UPDATE] Außerdem sollte mindestens die QTS-Version 5.0.0.1891 build 20211221 installiert sein. Bislang wurden Qnap zufolge über 3600 Geräte erfolgreich attackiert. [UPDATE2] Mittlerweile hat sich herausgestellt, dass Qnap das Update zwangsweise installiert – und das hat wohl bei einigen Nutzern für Probleme gesorgt.
In diesem Fall sind es standardmäßig die NAS-Management-Ports 8080 und 443. Außerdem sollte man prüfen, dass die automatische Portweiterleitung im Router und im NAS (etwa UPnP) deaktiviert ist. Der Netzwerkcheck von heise Security kann helfen, Schwachstellen wie offene Ports aufzudecken.
Um die Angriffsfläche zu minimieren, gilt generell, dass Netzwerkgeräte nicht selbstständig Ports nach außen aufmachen dürfen. Denn wenn sich eine Malware einschleicht und UPnP ist aktiv, kann der Trojaner nach Hause telefonieren und sich gegebenenfalls als dauerhafte Hintertür im System verankern. Qnap hat in einem Beitrag noch weitere Informationen zu unnötig offenen Ports zusammengetragen.
Zusätzlich sollten NAS-Besitzer sicherstellen, dass alle Anwendungen inklusive des Betriebssystems QTS auf dem aktuellen Stand sind, sodass Angreifer keine Sicherheitslücken ausnutzen können.
Bereits Anfang 2022 warnte Qnap vor Ransomware-Attacken.
[UPDATE 28.01.2022 09.00 Uhr]
Weitere Hinweise zur Absicherung und bisherige Opferzahl im Fließtext ergänzt.
[UPDATE 28.01.2022 14.00 Uhr]
Hinweis auf Zwangsupdate und daraus resultierende Probleme im Fließtext erwähnt.
(des)
