Die Hardware-Hersteller QNAP und Synology warnen derzeit unabhängig voneinander vor Angriffen auf Netzwerkspeicher (Network Attached Storage, NAS), die über das Internet erreichbar sind. In beiden Fällen sind nicht etwa menschliche Hacker am Werk, sondern Schadcode, der mittels Botnetz-Strukturen automatisierte Einbruchsversuche startet.

Die Hersteller haben Sicherheitshinweise mit näheren Details zu den Angriffen und Handlungsempfehlungen für NAS-Betreiber veröffentlicht.

QNAP warnt vor Ransomware eCh0raix

Der von QNAP veröffentlichte Hinweis gilt einer Ransomware namens "eCh0raix". Sicherheitssoftware-Hersteller Anomali schildert in einer technischen Analyse, dass die Ransomware es speziell auf QNAP-NAS abgesehen hat.

Offenbar versucht eCh0raix, sich mittels Brute-Force-Angriffen auf schwache Passwörter oder alternativ über bekannte Schwachstellen Zugriff auf die Geräte zu verschaffen. Gelingt dies, verschlüsselt die Ransomware Dateien mit bestimmten Endungen und deponiert eine Erpresserbotschaft auf dem kompromittierten NAS. Während dieses Vorgangs kommuniziert sie kontinuierlich mit einem entfernten Command-and-Control-Server.

Interessanterweise verzichtet die Ransomware laut Anomali auf die Verschlüsselung, wenn sie feststellt, dass sich das NAS in (Weiß-)Russland oder der Ukraine befindet.

eCh0raix hinterlässt diese Erpresserbotschaft. (Bild: Anomali)

Handlungsempfehlungen von QNAP

Im Sicherheitshinweis empfiehlt QNAP, zum Schutz vor Infektionen durch eCh0raix

das NAS-Betriebssystem QTS auf die neueste Version zu aktualisieren,

"Malware Remover" zu installieren und ebenfalls auf den neuesten Stand zu bringen,

ein stärkeres Admin-Passwort zu verwenden,

das "Network Acess Protection"-Feature zu aktivieren

SSH und Telnet zu deaktivieren, sofern diese nicht verwendet werden und

die Nutzung der Default-Ports 443 and 8080 zu vermeiden.

Details zur jeweiligen Vorgehensweise nennt der Hersteller im Sicherheitshinweis.

Synology: "Koordinierte Brute-Force Attacke"

Im Vergleich zur recht detailliert beschriebenen Funktionsweise der eCh0raix-Ransomware liest sich Synologys bei Facebook veröffentlichter Sicherheitshinweis recht knapp. Der Hersteller teilt mit, dass es Hinweise auf eine "koordinierte Brute-Force Attacke gegen Synology-Geräte" gebe. Es sei "ein Bot am Werk", der "unzählige Passwörter" ausprobiere.

(Bild: Facebook / Synology)

Im Unterschied zu QNAP scheint der Schädling nach aktuellem Kenntnisstand nur auf Brute-Force-Angriffe, nicht aber auf das Durchprobieren bekannter Schwachstellen zu setzen. Das erklärt auch Synologys Handlungsempfehlungen: Statt zu einem Firmware-Update zu raten, weist der Hersteller auf einen standardmäßig vorhandenen (oder automatisch generierten) Admin-Account im DiskStation Manager (DSM) der Synology-NAS hin. Diesen solle man, sofern noch nicht geschehen, umgehend deaktivieren und stattdessen einen neuen Admin-Zugang (mit starkem Passwort) anlegen.

Bei Verdacht auf eine bereits erfolgte Kompromittierung empfiehlt Synology, alle laufenden Backup-Jobs und geplante Backup-Aufgaben zu stoppen, das NAS zu resetten und ein (hoffentlich vor der Infektion erstelltes) Backup einzuspielen.

Mehr zum Thema:

(ovw)