[English]Noch eine kurze Warnung für Nutzer, die QNAP NAS-Laufwerke im Einsatz haben. Die AgeLocker-Ransomware zielt auf solche Laufwerke, die per Internet erreichbar sind, und verschlüsselt deren Inhalt. In einigen Fällen werden auch Dateien für eine weitere Erpressung abgezogen. Problem ist aber, das bisher wenig bekannt ist, welche Versionen des NAS-Betriebssystem QTS angreifbar sind.
Anzeige
Die NAS-Laufwerke von QNAP sind ja ein beliebtes Ziel von Mal- und Ransomware. Ich hatte die letzten Monate ja einige Blog-Beiträge zu dieser Thematik (siehe Artikel am Beitragsende). Nun scheint es eine neue Malware-Variante mit dem Namen AgeLocker zu geben, die solche Laufwerke befällt. Der Name kommt vom verwendeten Verschlüsselungsalgorithmus namens Age (Actually Good Encryption) verwendet, der GPG zum Verschlüsseln von Dateien, Backups und Streams ersetzen soll. Die Ransomware tauchte erst im Juli 2020 auf, wie z.B. Bleeping Computer in diesem Beitrag berichtete. Beim Verschlüsseln von Dateien wird den verschlüsselten Daten ein Textheader, der mit der URL 'age-encryption.org' beginnt, vorangestellt.
AgeLocker-Ransomware-Infektion
Jetzt ist die Ransomware aufgefallen, weil sie NAS-Laufwerke von QNAP befällt. Seit Ende August 2020 zielt AgeLocker oder eine andere Lösegeld-Software, die dieselbe Verschlüsselung verwendet, auf öffentlich zugängliche QNAP-NAS-Geräte und verschlüsselt deren Dateien. Bleeping Computer hat den Fall hier aufgegriffen, nachdem ein Leser sich mit einer Ransomware-Infektion in deren Forum meldete. Deren Forumsbeitrag ist inzwischen aber gelöscht worden. Sicherheitsforscher Michael Gillespie konnte aber herausfinden, das die Datei mit dem Age-Algorithmus verschlüsselt worden war.
QNAP warnt vor Age-Ransomware
Nun hat der Hersteller QNAP eine Sicherheitswarnung vor Ransomware herausgegeben, die den Age-Algorithmus zur Verschlüsselung verwendet. In der Sicherheitswarnung vom 25. September 2020 heißt es:
The AgeLocker Ransomware has been reported to target QNAP NAS, Linux, and macOS devices. This new ransomware attempts to encrypt the files of victims by using the "Age" encryption tool. QNAP Product Security Incident Response Team (PSIRT) has found evidence that the ransomware may attack earlier versions of Photo Station. We are thoroughly investigating the case and will release more information as soon as possible.
QNAP liegen also Berichte vor, dass die AgeLocker-Ransomware auf NAS-, Linux- und MacOS-Geräte von QNAP abzielt. Diese neue Ransomware versucht, die Dateien der Opfer mit dem Verschlüsselungsprogramm "Age" zu verschlüsseln. Das QNAP Product Security Incident Response Team (PSIRT) hat Hinweise darauf gefunden, dass die AgeLocker-Ransomware ältere Versionen der Photo Station angreifen könnte und untersucht den Fall eingehend. Man will so bald wie möglich weitere Informationen veröffentlichen.
Das sind natürlich sehr unspezifische Informationen, wie auch heise hier anmerkt. Weder ist bekannt, welche Sicherheitslücken AgeLocker angreift, noch welche Versionen des NAS-Betriebssystem QTS angreifbar bzw. welche Versionen geschützt sind. Ich tippe darauf, dass die oben erwähnte Infektion, die über Bleeping Computer an Miachel Gillespie ging, nun bei QNAP vorliegt und untersucht wit. Aktuell kann man Besitzern von QNAS-Stationen nur empfehlen, die neueste Firmware zu installieren und die Systeme möglichst nicht per Internet erreichbar zu lassen. Problem bei QNAS könnte auch sein, dass der Hersteller bei Software-Updates vom Nutzer deaktivierte Features wieder aktiviert (wie hier diskutiert).
Ähnliche Artikel:
Warnung: Schwachstelle in QNAP NAS wird angegriffen, 62.000 Infektionen
QNAP Sicherheitswarnung vor eCh0raix-Ransomwa
QSnatch-Malware zielt auf QNAP-NAS-Laufwerke
Warnung: Ransomware-Angriffe auf QNAP-/Synology-NAS
QNAP-NAS und die gekaperten Hosts-Einträge
NAS: QNAP und Synology von Meltdown/Spectre betroffen
QNAP fixt kritischen Bug, der Datenverlust bewirkt
Sicherheitsinformationen (8. Juni 2020)
2015
