Malware Angriffe auf NAS von Synology und QNAP

Malware Angriffe auf NAS von Synology und QNAP

Netzwerkspeicher (NAS) der Hersteller Synology und QNAP sind nicht nur in kleinen Unternehmen beliebte Weggefährten, wenn es darum geht, die eigene Verwaltung von Dokumenten und Backups auf einem zuverlässigen Standard zu führen, der eine gewisse Ausfallsicherheit mit sich bringt. Gerade die Multi-Bay Systeme werden auch in größeren Unternehmen häufig eingesetzt – und wie so oft – nur unzureichend gewartet und geupdatet. Umso gravierender, dass derzeit vermehrt Malware Angriffe auf NAS von Synology und QNAP auftreten, die direkt über das Web erreichbar sind und beispielsweise als VPN, Webserver oder E-Mail Server genutzt werden.

Automatisierte Malware Angriffe auf NAS

Die gute Nachricht zuerst: für die Angriffe sind in erster Linie keine kriminellen Kleingruppen von Hackern verantwortlich, die sich mühevoll und händisch Zugang zu schlecht gesicherten NAS-Systemen verschaffen wollen, sondern vielmehr automatisierter Schadcode, der mit Hilfe von Botnetz-Strukturen und Brute-Force automatisierte Angriffsversuche startet. Beide Hersteller haben zu betroffenen Schwachstellen Sicherheitshinweise und Handlungsempfehlungen für Kunden und NAS-Betreiber veröffentlicht.

Ransomware eCh0raix greift QNAP-Systeme an

Hersteller QNAP veröffentlichte einen Hinweis, der sich auf die kürzlich entdeckte Ransomware mit dem Namen „eCh0raix“ bezieht. Darin warn QNAP vor der Schadsoftware, die es derzeit insbesondere auf NAS des Herstellers abgesehen hat. Dabei versucht die Ransomware über traditionelle Brute-Force („rohe Gewalt“) über den Zugriff auf schwache Passwörter oder Standard-Benutzernamen („admin“) sowie ungepatchte Schwachstellen der letzten Jahre (insbesondere bei älteren NAS) Zugriff auf das System zu erlangen.

Ist das erfolgreich, verschlüsselt die Ransomware wie üblich Dateien mit bestimmten Endungen oder gesamte Partitionen ohne speziellen Dateizusammenhang, während der Schadcode permanent Kontakt mit dem Command-and-Control-Server seiner Quelle hat.  Schließlich werden die üblichen Erpresserbotschaften auf dem System deponiert und die üblichen Lösegeldzahlungen in Form von Bitcoin gefordert. Der nachfolgende Screenshot der Sicherheitsplattform Anomali zeigt eine der Erpresserbotschaften auf einem QNAP-System:

Erpressermeldung Ransomware QNAP NAS

Ransomware-Erpressermeldung (© Anomali)

In der umfangreichen Analyse von eCh0raix zeigt das Security-Team von Anomali auf, dass die Ransomware interessantereweise von der Verschlüsselungen eines befallenen System absieht, wenn sich dieses in der Ukraine oder Weißrussland befindet. Spekulativ könnte man hier Rückschlüsse auf die Herkunft der Ransomware ziehen.

eCh0raix instance check (© Anomali)

Handlungsempfehlung von QNAP

In seinen offiziellen Security Advisorys empfiehlt QNAP folgende Maßnahmen, um eine Kompromittierung durch die Ransomware zu verhindern:

  • Die aktuellste Version des Betriebssystem QTS installieren
  • Admin-Passwörter überprüfen und verstärken
  • Network Access Protection aktiveren
  • Malware Remover installieren oder updaten
  • Default Ports 8080 und 443 vermeiden
  • SSH und Telnet deaktivieren, falls diese nicht benötigt werden

Synology hält sich bedeckt

Im Gegensatz zu QNAP weist Hersteller Synology in einem aktuellen Facebook-Post nur darauf hin, dass vermehrte Brute-Force Angriffe auf Synology-NAS-Systeme vorkommen, jedoch keine bekannten Schwachstellen ausgenutzt werden. Demnach sollten nur standardmäßig generierte und verwundbare Admin-Accounts im DiskStation-Manager überprüft und ggf. deaktiviert werden, um das Risiko einer Kompromittierung zu minimieren.