Qnap warnt vor Ransomware-Attacken auf NAS

Der taiwanesische Hersteller Qnap warnt seine Kunden vor Ransomware-Angriffen, so ein Bericht von "Bleeping Computer". Laut Qnap werden die hauseigenen NAS-Lösungen durch die Ransomware Checkmate attackiert, welche die Daten auf den Speichergeräten verschlüsselt. Die Angriffe fokussieren sich auf Geräte, die via Internet zugänglich sind und bei denen der SMB-Dienst in Gebrauch ist. Konten mit schwachen Passwörtern könnten in diesen Fällen via Brute-Force-Attacke gehackt werden.

Wie Qnap in einem Security Advisory mitteilt, werden bei erfolgreichen Angriffen die Daten in gesharten Verzeichnissen verschlüsselt und in jedem Verzeichnis wird eine Datei namens CHECKMATE_DECRYPTION_README erstellt. Die verschlüsselten Dateien werden weiter mit der Extension .checkmate versehen. Anders als von Qnap dargestellt, liegen "Bleeping Computer" allerdings Meldungen vor, wonach alle Dateien auf den NAS verschlüsselt werden.


Die Angreifer informieren die Opfer sodann über die Attacke und fordern ein Lösegeld, das von der Anzahl der verschlüsselten Dateien abhängig ist. "Bleeping Computer" nennt einen Fall, bei dem für gut 267'000 verschlüsselte Files die Summe von 15'000 Dollar gefordert wird. Die Opfer werden weiter aufgefordert, über den Messenger Telegram drei verschlüsselte Dateien zu übermitteln, die dann als Beweis entschlüsselt und mit einer Bitcoin Wallet für die Zahlung retourniert werden. Nach erfolgter Zahlung versprechen die Angreifer die Übermittlung des Dechiffrierschlüssels.

Qnap warnt seine Kunden, die Geräte nicht via Internet zugänglich zu machen oder zumindest einen VPN-Zugang zu benutzen. Dazu soll die Firmware aktualisiert, SMB 1 deaktiviert und alle Zugangskonten mit sicheren Passwörtern versehen werden. Schliesslich empfiehlt der Hersteller auch regelmässige Backups und Snapshots zu erstellen. (rd)