[English]Der taiwanesische Hersteller QNAP hat zum 7. Juli 2022 eine Warnung herausgegeben, dass eine neue Checkmate-Ransomware seine NAS-Einheiten über per Internet erreichbar SMB-Dienste angreift. Vermutlich werden dann die Zugangsdaten bei schwachen Passwörtern per Brute-Force-Angriff geknackt und die Datenträger dann verschlüsselt. Erste Fälle scheint es bereits im Juni 2022 gegeben zu haben.
Anzeige
QNAP-Warnung
Die Warnung findet sich im QNAP Advisory QSA-22-21 Checkmate Ransomware via SMB Services Exposed to the Internet. Aktuell ist noch nicht allzu viel bekannt, QNAP untersucht noch die Vorfälle. QNAP teilt folgende Vermutung im Advisory mit:
Vor kurzem wurden wir auf eine neue Ransomware namens Checkmate aufmerksam gemacht. Vorläufigen Untersuchungen zufolge greift Checkmate über SMB-Dienste an, die dem Internet ausgesetzt sind, und setzt einen Wörterbuchangriff ein, um Konten mit schwachen Passwörtern zu knacken. Sobald sich der Angreifer erfolgreich bei einem Gerät anmeldet, verschlüsselt er Daten in freigegebenen Ordnern und hinterlässt in jedem Ordner eine Lösegeldforderung mit dem Dateinamen "!CHECKMATE_DECRYPTION_README".
Das Unternehmen will so bald wie möglich weitere Informationen zur Verfügung stellen, untersucht aktuell aber wohl noch, ob vielleicht eine Schwachstelle ausgenutzt wird.
Opfer schlagen in Foren auf
Die Kollegen von Bleeping Computer, die über das Advisory hier berichten, verweisen auf das eigene Forum, wo sich Opfer der Ransomware bereits Anfang Juni 2022 gemeldet haben.
Hi!
I need some help wit new (I believe) ransomware, which encrypt files on QNAP storage of my clients. Ransom puts .checkmate file extension.[…]
………
You was hacked by CHECKMATE team.All your data has been encrypted, backups have been deleted.
Your unique ID: bc75c72[edited]
You can restore the data by paying us money.
We have encrypted 267183 office files.
We determine the amount of the ransom from the number of encrypted office files.
The cost of decryption is 15000 USD.
Payment is made to a unique bitcoin wallet.
Before paying, you will be able to make sure that we can actually decrypt your files.
For this:
1) Download and install Telegram Messenger *ttps://telegram.org/
2) Find us *ttps://t.me/checkmate_team
3) Send a message with your unique ID and 3 files for test decryption. Files should be no more than 15mb each.
4) In response, we will send the decrypted files and a bitcoin wallet for payment. Bitcoin wallet is unique for you, so we can find out what you paid.
5) After the payment is received, we will send you the key and the decryption program.
Nachfolgend ist ein Bild eines verschlüsselten Ordners zu finden. Die Forderung in Höhe von 15.000 US-Dollar erscheint mir recht happig – da dürften nicht viele Opfer zahlen können und wollen.
Dateien von Checkmate Ransomware verschlüsselt
Empfohlene Gegenmaßnahmen
Anbieter QNAP empfiehlt, sicherzustellen, dass der SMB-Dienst der NAS-Geräte nicht per Internet erreichbar ist. Wer remote auf das NAS zugreifen will, soll einen VPN-Dienst verwenden. Zudem soll das Betriebssystem der NAS aktuell gehalten werden und SMBv1 im deaktiviert werden. Die erforderlichen Schritte sind im Advisory beschrieben.
Weitere Empfehlungen lauten, die Passwörter zu überprüfen und sicherzustellen, dass alle Passwörter sicher genug sind. Weiterhin empfiehlt der Hersteller seinen Nutzern, die Daten auf den NAS-Einheiten zu sichern und regelmäßig Snapshots zu erstellen.
2015
Mir ist bewusst, dass SMB nicht ins Internet gehört. Damit wäre eigentlich genug gesagt, aber das scheint ja offenbar ein Problem sein. Daher einige Anmerkungen was man zusätzlich den Empfehlungen von QNAP tun sollte. Das gilt generell und nicht nur, wenn man Ports bewusst nach außen öffnet.
Unter System -> Sicherheit -> IP-Zugriffsschutz die Regeln für eine automatische Sperre aktivieren:
Bei 10 fehlerhaften Anmeldeversuchen in 60 Minuten die IP-Adresse für 1 Tag sperren
Das gibt es für die Protokolle SSH, Telnet, HTTP(S), FTP, SMB und AFP
Des Weiteren unter System -> Sicherheit -> Kontozugriffsschutz die Regeln für einen automatischen Account Lockdown einschalten:
Bei 10 fehlerhaften Anmeldeversuchen in 60 Minuten wird das Konto deaktiviert. Auch hier die Protokolle von oben anhaken.
Unter System -> Sicherheit -> Passwortrichtlinie
Nichts unter 16 Zeichen akzeptieren und alle Regeln zur Komplexität aktiveren.
Einen neuen Administrator anlegen, 2FA aktiveren und den Standard "admin" über diesen User deaktivieren.
Der Administrator ist ausschließlich für die Administration da. Für alle Zugriffe via SMB, HTTP etc. neue Benutzerkonten erstellen und deren Rechte so minimal wie möglich einstellen.
Alle nicht benötigten Dienste abschalten. Auf den QNAPs läuft im Standard viel Kram. Wer keinen FTP-Server oder Apple-Netzwerk braucht -> Abschalten
Die Liste ist nicht vollständig, ist nur was mir so als erstes in den Sinn kam.
Gruß Singlethreaded
Wenn AVM endlich mal in die Gänge kommen würde, und IKEv2 auch für Ältere Fritzboxen unterstützen würde,
würden sicher mehr Leute eine VPN Verbindung verwenden.
Leider sind seit dem letzten Android Update viele VPN Verbindungen zu Heimnetzen nicht mehr möglich,
und die Leute werden Mutig und Öffnen ihr Netz ohne sicherheitsregeln ins Internet.
Was vorher einfach war, wird nun Unnötig Kompliziert gemacht.
"und die Leute werden Mutig und Öffnen ihr Netz ohne sicherheitsregeln ins Internet."
Die Leute sind weder mutig noch leichtsinnig.
I.d.R. haben die Leute KEINE Ahnung, was sie da tun! VPN? Portweiterleitung? SMBv1? Hä?
Es gibt genügend Leute da draußen, die kaufen und nutzen die EDV wie Essbesteck oder eine Brotschneidemaschine. Es wird solange irgendwas (!!) irgendwie (!!) eingestellt und probiert, das es funktioniert (was auch immer "es" ist).
Das die Leute damit u.U. unbewusst virtuelle Löcher in ihre Technik reißen und z.B. das NAS öffentlich erreichbar ist, begreifen die nicht. Einfach weil es keine EDVer sind.
Wer den ganzen Tag auf dem Bau malocht oder im Supermarkt an der Kasse sitzt oder Regale einräumt und in seiner Freizeit den Garten pflegt und alles was EDV ist als Last und nicht als Lust sieht, von dem kann man nicht mehr erwarten.
Habe ich leider alles bereits erleben müssen, in den 30 Jahren EDV, in der ich tätig.
Und ja, auch mir passieren Fehler, meist aber kleinere …
Es gibt leider genügend Leute, die meinen "Das Ding (z.B. NAS) kriege ich schon (irgendwie mit googlen) hin", brauche ich keine "Fachmann"… mit a bissl googlen kriege ich auch noch selber hin …
Und später ist das Geschrei groß …
Tja, falscher Stolz und Eitelkeit oder einfach Selbstüberschätzung … in 95% der Fälle sitzt der Fehler VOR dem Display.
Ja, ich weiß, das sich mit meinen obigen Aussagen einige User auf dem Schlips getreten fühlen und bin gespannt, welche Antworten ggf. auf Stammtischniveau da kommen … ?!?!? ;-)