Ihr seid auf dem Holzweg. Wir haben heute bei uns im Unternehmen so eine verseuchte Qnap gehabt. Dieses Nas, hing weder mit einem offenen Port im Internet, noch hatte sie selber Internetzugriff.
Es reicht vollkommen, wenn irgendein Nutzer im Firmennetzwerk eine Internetseite mit Schadcode aufruft. Und das hat nichts mit obskuren Cracker oder Pornoseiten zu tun. Irgendein Werbenetzwerk wird infiziert, zum Beispiel eines von den 1000 externen aufrufen, wenn man spon.de eingibt. Im Javascript darf man beliebig http- und https Connections aufreißen, worauf die Extensionliste "Media Streaming Add-on, Multimedia Console und Hybrid Backup Sync" eindeutig hinweist. Das sind alles http und https Dienste auf der Qnap. Um die NAS nun zu verschlüsseln, reicht ein einfaches Bashscript, ein Dreizeiler, Bezahlurl steht im Verschlüsselungsdateinamen. Hier waren keine Scriptkiddies mehr am Werk, dass sieht man auch an der viertel Million, wovon andere Schadcodebetreiber nur träumen können.
Wir haben das so rekonstruiert: Das Nas wurde auf dem eben beschriebenen Weg befallen. Der Admin schaltet alle zwei drei Monate das Internet für ein paar Minuten ein, um die Aktualisierungen zu fahren. Und Zack, gehts ab. Die betreffende Qnap hat heute tausende FORWARD Pakete an IP-Adressen an die große weite Welt versucht zu schicken. Sieht nach einem Command- and Control Netzwerk aus. Die Firewall hats sofort gemeldet. Nun ist die Nas aus, das schlimmste wurde verhindert.
Fazit der Aktion, wenn man schon eine NAS für Privatkunden im Firmennetzwerk betreibt, dann bitte auch nicht mehr als eine Freigabe einrichten, und nicht 10 Extensions laufen lassen.