/StorageCrypt: Ransomware infiziert NAS-Geräte via SambaCry-Lücke

StorageCrypt: Ransomware infiziert NAS-Geräte via SambaCry-Lücke

StorageCrypt: Neue Ransomware infiziert NAS-Geräte via SMB-Lücke

(Bild: pixabay.com)

Viele Netzwerkspeicher (NAS) weisen noch immer die SMB-Lücke SambaCry auf. Ein aktueller Verschlüsselungstrojaner macht sich das zunutze. NAS-Besitzer sollten zügig patchen.

Eine neue Erpresser-Malware soll gezielt Network-Attached-Storage-Systeme (NAS) angreifen, um die darauf befindlichen Dateien zu verschlüsseln und anschließend ein Lösegeld zu fordern. Das geht aus einem Beitrag hervor, den das Team der IT-News-Webseite Bleepingcomputer als Reaktion auf mehrere Support-Anfragen betroffener Nutzer veröffentlichte.

Demnach nutzt die als StorageCrypt oder auch Storagecrypter bezeichnete Ransomware die im Mai dieses Jahres entdeckte SambaCry-Lücke, um auf NAS-Geräte zu gelangen. SambaCry (CVE-2017-7494) ist eine Schwachstelle in der Unix-Umsetzung des Filesharing-Protokolls SMB in Samba-Versionen ab 3.5.0. Die Versionen 4.4.14, 4.5.10 und 4.6.4 sind abgesichert. SambaCry ermöglicht einem entfernten Angreifer das Ausführen beliebigen Programmcodes auf sicherheitsanfälligen Servern.

Ob sich unter den bisherigen Opfern von StorageCrypt auch deutsche Nutzer befinden, geht aus dem Beitrag nicht hervor; auch Angaben zu Infektionszahlen fehlen. Die Beiträge im Supportforum von Bleepingcomputer belegen allerdings, dass der Schädling bereits seit mindestens Ende November sein Unwesen treibt.

Laut Bleepingcomputer landet im Anschluss an den erfolgreichen SambaCry-Exploit eine erste Schadcode-Datei unter dem Namen apaceha im “/tmp”-Ordner attackierter NAS-Geräte. Dabei handelt es sich mutmaßlich entweder um den StorageCrypt-Installer oder um eine Backdoor, die den Angreifern zu einem späteren Zeitpunkt erneuten Zugriff gewähren soll. Die Malware platziert außerdem eine exe-Datei, die mit den chinesischen Schriftzeichen für “Die Schöne und das Biest” benannt ist, sowie eine autorun.inf in jedem einzelnen NAS-Ordner. So versucht sie, weitere Rechner zu infizieren, die darauf zugreifen.

Die Ransomware verschlüsselt sämtliche Dateien auf dem NAS-Gerät und versieht sie mit der Endung “.locked”. Zusätzlich legt sie eine Textdatei namens _READ_ME_FOR_DECRYPT an, in der die Erpresser für die Entschlüsselung 2 Bitcoins verlangen, was nach aktuellem Wechselkurs mehr als 25.000 Euro entspricht. Die Erpresserbotschaft enthält neben einer Bitcoin-Adresse der Kriminellen auch eine E-Mail-Adresse, an die sich Betroffene im Anschluss an die Zahlung wenden sollen, um Hilfe bei der Entschlüsselung zu erhalten. Weiterhin ist dem Text zu entnehmen, dass die Verschlüsselung angeblich mittels RSA-4096 und AES-256 erfolgt. Ob dies tatsächlich zutrifft, ist bislang ebenso unklar wie die Erfolgsaussichten der Entschlüsselung.

StorageCrypt ist nicht die erste Malware, die SambaCry als Angriffsvektor nutzt: Unter anderem brach bereits im Juni ein Trojaner in Linux-Server ein, um deren Rechenkapazitäten zum Schürfen der Kryptowährung Monero zu nutzen.

Um Netzwerkspeicher effektiv vor StorageCrypt zu schützen, sollten NAS-Besitzer dringend die Aktualität der Firmware überprüfen. Viele namhafte Gerätehersteller wie etwa Buffalo, Seagate, Synology, Netgear und QNAP haben die SambaCry-Lücke in den vergangenen Monaten geschlossen. NAS-Systeme, für die keine Updates bereitstehen, sollte man im Zweifel vom Netz nehmen oder zumindest durch eine Firewall und die Einrichtung eines VPN für den sicheren Fernzugriff schützen.


(ovw)