Ransomware eCh0raix greift QNAP-Geräte an (12.2021)

Sicherheit (Pexels, allgemeine Nutzung)[English]Besitzer von QNAP-NAS-Laufwerken, die per Internet erreichbar sind, wurden rund um Weihnachten in einer neuen Kampagne von der eCh0raix-Ransomware angegriffen. Es sind zwar nur wenige Betroffene, aber diese auch als QNAPCrypt bekannte Schadsoftware verschlüsselt die Geräte und erpresst Lösegeld. Neu ist die Ransomware auch nicht, hatte ich doch im Juni 2020 vor Angriffen gewarnt (siehe QNAP Sicherheitswarnung vor eCh0raix-Ransomware).


Anzeige

Die eCh0raix-Ransomware

Es ist eine unendliche Geschichte. Im Juli 2019 hatte ich im Artikel Warnung: Ransomware-Angriffe auf QNAP-/Synology-NAS vor einer Ransomware mit dem Namen eChoraix gewarnt. Die Malware verwendet Brute-Force-Angriffe auf die Webinterfaces dieser Geräte, um eventuell mit schwachen Passwörter gesicherte Installationen zu kompromittieren. Im Erfolgsfall werden alle Dateien auf dem NAS verschlüsselt und die Ransomware legt einen Hinweis ab, das der Benutzer Lösegeld zahlen darf, um wieder an seine Daten heranzukommen.

eCh0raix-Ransomware-Angriffe Weihnachten 2021

Die Kollegen von Bleeping Computer berichten in diesem aktuellen Artikel, dass etwa eine Woche vor Weihnachten verstärkt Angriffe auf QNAP-Geräte durch die Bedrohungsakteure der eCh0raix-Ransomware beobachtet wurden. Den Kollegen sind wohl Hinweise im eigenen Forum von Betroffenen aufgefallen.

eCh0raix attacks on ONAP
eCh0raix attacks on ONAP, Source: ID Ransomware service

Obige Grafik zeigt einen Anstieg kurz vor Weihnachten, und nun wieder einen Abfall, wobei der Peak immer noch unter 100 Infektionen war (ein recht kleiner Wert). Wie die Angreifer vorgehen, ist aktuell unklar – bei Bleeping Computer wird von einigen Leuten ein Angriff über QNAP Photo Station vermutet. Der Artikel enthält noch einige Hinweise, aber keine wirklichen Details. Jemand aus der Leserschaft betroffen?

Spinsafe hat diesen Artikel veröffentlicht, der auch zu einem Decrypter verlinkt, der mit älteren Malware-Versionen verschlüsselte Dateien wiederherstellen kann.

Ähnliche Artikel
QNAP schließt RCE-Schwachstelle in QTS NAS-Betriebssystem
Fix für kritische Schwachstelle in QNAP-NAS-Geräten (7.10.2020)
AgeLocker-Ransomware zielt auf QNAP NAS-Laufwerke
Warnung: Schwachstelle in QNAP NAS wird angegriffen, 62.000 Infektionen
QNAP Sicherheitswarnung vor eCh0raix-Ransomware
QSnatch-Malware zielt auf QNAP-NAS-Laufwerke
Warnung: Ransomware-Angriffe auf QNAP-/Synology-NAS
Das QNAP-Desaster: Ransomware-Angriff auf NAS-Einheiten
QNAP Sicherheitswarnung vor eCh0raix-Ransomware
Nachlese zum QNAP-NAS-Ransomware-Angriff (April 2021)
Das QNAP-Desaster: Ransomware-Angriff auf NAS-Einheiten


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit NAS, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Ransomware eCh0raix greift QNAP-Geräte an (12.2021)

  1. Singlethreaded sagt:

    Was soll man dazu sagen? Mit den seit Jahren bekannten Mechanismen wird einen das nicht betreffen. Reihenfolge ohne Wertung:

    1. Den User admin deaktivieren, Alternative anlegen
    2. Komplexe Passwörter per Richtlinie erzwingen
    3. Die 2-Faktor Authentifizierung aktivieren
    4. IP-Adressen automatisch sperren lassen
    5. Push-Infos für wichtige Meldungen aktivieren
    6. Das NAS nicht aus dem Internet erreichbar machen und einen VPN verwenden (außer man weiß was man da tut und sichert das Ganze anders ab)
    7. Die Firmware regelmäßig prüfen und Sicherheitsupdates installieren.

    Eigentlich ist das nicht so schwer, aber gegen das deutsche Lieblingspasswort 2021 (123456) und seine Derivate kann man halt nix machen.

    Gruß Singlethreaded

  2. Roman sagt:

    Ich bin davon betroffen weiss nicht wie ich jetzt vorgehen soll bzw auch nicht welche randsome Attacke ich genau habe.
    Alle files haben nun eine neue endung und es befindet sich in jedem Ordner eine read me Datei…mit bitcoin Forderung…

  3. Mrs. Briges sagt:

    Hallo Alle Miteinander,
    auch ich bin betroffen. Wie oben beschrieben. Habe die Ransomeware exakt identifiziert. Betroffen ist nur die NAS, nicht der PC. Einige Ordner sind komplett encrypted, andere gar nicht oder es sind encryptete Dateien mit Dateigröße null und der nicht encrypteten und immer noch zu öffnenden original Datei vorhanden.
    Gibt es vielleicht schon Lösungsansätze?

  4. Sebastian.S sagt:

    Und auch ich bin betroffen in Hessen. Angriff war 24.1
    Alle Dokumente alle Raids, alle Festplatten.
    Fall ist seit heute polizeilich gemeldet.

    Lösung wäre super.
    Es handelt sich um die .encypt Dateien. Laptop und PC sind nicht betroffen aber eben alles auf dem alten Server von Qnap

  5. Martin Walser sagt:

    Auch mich hat es erwischt. Schöne Schei….
    Der Angriff war am 21.12.
    Gibt es schon eine Lösung in Sicht.

Schreibe einen Kommentar zu Mrs. Briges Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.