Ransomware StorageCrypt
Eine aktuelle Erpresser-Malware greift zielgerichtet Network-Attached-Storage-Systeme (NAS) an, wie heise.de dazu, unter Berufung auf die IT-News-Webseite Bleepingcomputer, berichtete. Die auf den Systemen befindlichen Dateien werden verschlüsselt, um anschließend Lösegeld zu fordern.
Die Ransomware StorageCrypt greift gezielt über die im Mai dieses Jahres entdeckte SambaCry-Lücke an, um auf das NAS-Gerät zu gelangen.
Die Schwachstelle SambaCry
- SambaCry (CVE-2017-7494) ist eine Schwachstelle in der Unix-Umsetzung des Filesharing-Protokolls SMB in Samba-Versionen ab 3.5.0.
- Die Versionen 4.4.14, 4.5.10 und 4.6.4 sind abgesichert.
- SambaCry ermöglicht einem entfernten Angreifer das Ausführen beliebigen Programmcodes auf sicherheitsanfälligen Servern.
Obwohl der Schädling laut Bleepingcomputer sein Unwesen treibt, gibt es keine konkreten Angaben zu Infektionszahlen und Infektionsorten.
"Die Schöne und das Biest"
Laut Bleepingcomputer landet im Anschluss an den erfolgreichen SambaCry-Exploit eine erste Schadcode-Datei unter dem Namen apaceha im "/tmp"-Ordner attackierter NAS-Geräte. Dabei handelt es sich mutmaßlich entweder um den StorageCrypt-Installer oder um eine Backdoor, die den Angreifern zu einem späteren Zeitpunkt erneuten Zugriff gewähren soll.
Die Malware platziert außerdem eine exe-Datei, die mit den chinesischen Schriftzeichen für "Die Schöne und das Biest" benannt ist, sowie eine autorun.inf in jedem einzelnen NAS-Ordner. So versucht sie, weitere Rechner zu infizieren, die darauf zugreifen.
Die Lösegeldforderung
Die Lösegeldforderung läuft nach folgendem Schema:
- Die Erpressersoftware verschlüsselt sämtliche Dateien und versieht sie mit der Endung „locked“.
- Zusätzlich legt sie eine Textdatei namens _READ_ME_FOR_DECRYPT an, in der die Erpresser für die Entschlüsselung 2 Bitcoins (etwa 25.000 Euro) verlangen.
- Die Erpresserbotschaft enthält neben einer Bitcoin-Adresse der Kriminellen auch eine E-Mail-Adresse, an die sich Betroffene im Anschluss an die Zahlung wenden sollen, um Hilfe bei der Entschlüsselung zu erhalten.
- Daneben heißt es im Text, dass die Verschlüsselung angeblich mittels RSA-4096 und AES-256 erfolgt. Ob das tatsächlich so ist, ist genauso unklar wie der Erfolg einer Entschlüsselung.
Firmware-Updates schützen vor SambaCry
StorageCrypt ist nicht die erste Malware, die SambaCry als Angriffsvektor nutzt: Unter anderem brach bereits im Juni ein Trojaner in Linux-Server ein, um deren Rechenkapazitäten zum Schürfen der Kryptowährung Monero zu nutzen.
Übers Internet erreichbare NAS-Systeme sollte man grundsätzlich durch eine Firewall sowie ein VPN für sicheren Fernzugriff absichern. Gezielten Schutz vor StorageCrypt bietet oftmals eine Aktualisierung der Firmware: Viele namhafte Gerätehersteller wie etwa Buffalo, Seagate, Synology, Netgear und QNAP haben die SambaCry-Lücke in den vergangenen Monaten geschlossen, so heise.de.
Weiterführende Links:
bleepingcomputer.com: StorageCrypt Ransomware Infecting NAS Devices Using SambaCry
heise.de: StorageCrypt: Ransomware infiziert NAS-Geräte via SambaCry-Lücke
