Nachlese zum QNAP-NAS-Ransomware-Angriff (April 2021)

Sicherheit (Pexels, allgemeine Nutzung)[English]Benutzer von QNAP-NAS-Laufwerken wurden ja im April 2021 Opfer einer breit angelegten Ransomware-Kampagne, bei dem die Laufwerksinhalte verschlüsselt wurden. Der Hersteller hat mit einem Sicherheitspatch reagiert und auch ein "Bereinigungstool" bereitgestellt. Letzteres stieß aber nicht bei jedem Verantwortlichen auf Begeisterung – ich habe gleich auf mehreren Kanälen Rückmeldungen von IT-Leuten bekommen. Daher eine Nachlese zu diesem Thema.


Anzeige

QNAP: Sicherheitslücke und Angriff

Am 22. April 2021 wurde von QNAP eine Sicherheitswarnung zu einer Schwachstelle im HBS 3 Hybrid Backup Sync veröffentlicht. Eine Schwachstelle in Form einer fehlenden Authentifizierung ermöglichte den Zugriff unbefugter Dritter auf die QNAP-NAS-Laufwerke. Die Schwachstelle wurde von QNAP durch ein Update beseitigt.

Es war aber wohl für einige Nutzer bereits zu spät, da es einen QLocker-Ransomware-Angriff auf QNAS-Geräte gab, bei dem genau diese Schwachstelle zur Übernahme und zum Verschlüsseln der Dateien genutzt wurde. QNAP hatte in seiner Sicherheitswarnung auch Hilfestellung und ein Tool zum Beseitigen einer Infektion bereitgestellt. Ich bin im Blog-Beitrag Das QNAP-Desaster: Ransomware-Angriff auf NAS-Einheiten auf diese Fragestellungen eingegangen.

Noch ein Fehler von QNAP?

Von Blog-Leser Joachim S., der mich auch auf das QNAP-Thema hingewiesen hatte, kam als Rückmeldung auf meinen Beitrag folgender Text per Mail (danke dafür):

Irgendwie ist der Vorfall schon ärgerlich, zumal ich einen Kunden hatte, der nur den myqnapcloud Dienst aktiv hatte, kein Port-Forwarding zur QNAP. Der Dienst wurde bei der Einrichtung mehr oder weniger automatisch aktiviert, und obwohl nicht verwendet, leider nicht mehr deaktiviert.

Glück im Unglück war das die Dateien nur per 7z gepackt wurden, ohne Key. Hat zwar ein bisschen gedauert, aber alles wieder da. Was mich allerdings schockiert hatte war das der Trojaner es tatsächlich geschafft hatte die Snapshots zu löschen.

Das deutet doch darauf hin, dass die Entwickler von QNAP in der Firmware gepatzt und solche Fragestellungen schlicht übersehen haben – oder?

Benutzer waren verunsichert oder sauer

Blog-Leser Stefan K. hat mich ebenfalls per Mail kontaktiert – erstmals am 26. April 2021, weil er durch eine Fehlerbenachrichtigung auf QNAP-NAS-Geräten alarmiert wurde. Stefan schrieb mir:

Guten Tag Herr Born,

alle mir zugänglichen QNAP-NAS (5 Stück) haben heute fast zeitgleich folgenden Fehler gemeldet:

QNAP-NAS-Meldung

Die Geräte stehen an zwei unterschiedlichen Standorten und sind mit einer Ausnahme auch nicht aus dem Internet zu erreichen.

Alle Updates wurden unmittelbar nach dem Release installiert. Verschlüsselte Dateien wurden nicht gefunden.

Möglichweise beseitigt QNAP hier nur "Altlasten" über eine neue Malware-Signatur.

Der Vorgang ist aber höchst intransparent. So verrät das Log z.B. nicht, welche Dateien oder Verzeichnisse eigentlich gelöscht wurden.

Stefan hat dann ein Ticket bei QNAP erstellt und versprach, sich zu melden, wenn es eine Antwort gibt (daher habe ich das Ganze hier im Blog noch nicht aufgegriffen). In einer weiteren Mail erwähnte Stefan noch, dass das NAS im Falle einer Infektion nicht neu gestartet werden soll, weil es möglich sei, den Schlüssel auszulesen solange der Prozess noch läuft. Das hatte ich im oben verlinkten Artikel angerissen, und QNAP hat es in seiner FAQ auch entsprechend aufgeführt. Die Hoffnung war, dass man damit die Dateien dann später wieder entschlüsseln kann. Stefan hat zu der obigen Fehlermeldung folgende Rückmeldung des QNAP-Support auf sein Ticket bekommen:

Sehr geehrter Herr K.,

diese Meldung hat der Malware Remover in den letzten Tagen gebracht, es war ein irreführender Hinweis. Malware Remover hat diese Meldung gebracht, als die updates gegen Qlocker installiert wurden. Lassen Sie sich nicht verunsichern, es handelt sich um eine etwas missformulierte Nachricht, die noch nicht korrigiert wurde.

Also handelt es sich, wie von Stefan vermutet, um die Installation von Updates gegen QLocker und nicht um eine Infektion. Aber einigen Leuten dürfte das Herz in die Hose gefallen sein, als sie die Malware Remover Meldung über entfernte Dateien gesehen haben. Auf Twitter ist mir dann ein Tweet von Blog-Leser Hans-Peter Holzer als Antwort auf die QNAP-Warnung zum gleichen Sachverhalt unter die Augen gekommen.

QNAP-Warnung vor Qlocker-Ransomware


Anzeige

Vielleicht hilft es euch weiter – oder waren euch als möglicherweise Betroffene die oben skizzierten Vorgänge / Sachverhalte von vorneherein klar?

Ähnliche Artikel
QNAP schließt RCE-Schwachstelle in QTS NAS-Betriebssystem
Fix für kritische Schwachstelle in QNAP-NAS-Geräten (7.10.2020)
AgeLocker-Ransomware zielt auf QNAP NAS-Laufwerke
Warnung: Schwachstelle in QNAP NAS wird angegriffen, 62.000 Infektionen
QNAP Sicherheitswarnung vor eCh0raix-Ransomware
QSnatch-Malware zielt auf QNAP-NAS-Laufwerke
Warnung: Ransomware-Angriffe auf QNAP-/Synology-NAS
Das QNAP-Desaster: Ransomware-Angriff auf NAS-Einheiten


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Nachlese zum QNAP-NAS-Ransomware-Angriff (April 2021)

  1. Geyer Rambo sagt:

    Wie gut, dass Du das veröffentlicht hast. Ich hatte im Log auch diese Meldung und konnte bisher nicht herausfinden, welche Dateien / Folder die Software gelöscht hat.

    Dann war es bei mir auch nur ein "Fehlalarm". Traurig bei so einem heiklen Thema…

  2. Tobias Leichsenring sagt:

    Hallo,
    im Text steht etwas davon, dass die Daten ohne Key gepackt wurden – wie kann ich das denn herausbekommen ? Ein einfaches Entpacken mit 7Zip funktioniert nicht.
    Danke für eine Info
    Tobias

Schreibe einen Kommentar zu Geyer Rambo Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.