{"id":236084,"date":"2020-09-29T07:31:09","date_gmt":"2020-09-29T05:31:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236084"},"modified":"2021-02-25T23:14:39","modified_gmt":"2021-02-25T22:14:39","slug":"agelocker-ransomware-zielt-auf-qnap-nas-laufwerke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/29\/agelocker-ransomware-zielt-auf-qnap-nas-laufwerke\/","title":{"rendered":"AgeLocker-Ransomware zielt auf QNAP NAS-Laufwerke"},"content":{"rendered":"

[English<\/a>]Noch eine kurze Warnung f\u00fcr Nutzer, die QNAP NAS-Laufwerke im Einsatz haben. Die AgeLocker-Ransomware zielt auf solche Laufwerke, die per Internet erreichbar sind, und verschl\u00fcsselt deren Inhalt. In einigen F\u00e4llen werden auch Dateien f\u00fcr eine weitere Erpressung abgezogen. Problem ist aber, das bisher wenig bekannt ist, welche Versionen des NAS-Betriebssystem QTS angreifbar sind.<\/p>\n

<\/p>\n

\"\"Die NAS-Laufwerke von QNAP sind ja ein beliebtes Ziel von Mal- und Ransomware. Ich hatte die letzten Monate ja einige Blog-Beitr\u00e4ge zu dieser Thematik (siehe Artikel am Beitragsende). Nun scheint es eine neue Malware-Variante mit dem Namen AgeLocker zu geben, die solche Laufwerke bef\u00e4llt. Der Name kommt vom verwendeten Verschl\u00fcsselungsalgorithmus namens Age (Actually Good Encryption<\/a>) verwendet, der GPG zum Verschl\u00fcsseln von Dateien, Backups und Streams ersetzen soll. Die Ransomware tauchte erst im Juli 2020 auf, wie z.B. Bleeping Computer in diesem Beitrag<\/a> berichtete. Beim Verschl\u00fcsseln von Dateien wird den verschl\u00fcsselten Daten ein Textheader, der mit der URL 'age-encryption.org' beginnt, vorangestellt.<\/p>\n

AgeLocker-Ransomware-Infektion<\/h2>\n

Jetzt ist die Ransomware aufgefallen, weil sie NAS-Laufwerke von QNAP bef\u00e4llt. Seit Ende August 2020 zielt AgeLocker oder eine andere L\u00f6segeld-Software, die dieselbe Verschl\u00fcsselung verwendet, auf \u00f6ffentlich zug\u00e4ngliche QNAP-NAS-Ger\u00e4te und verschl\u00fcsselt deren Dateien. Bleeping Computer hat den Fall hier aufgegriffen<\/a>, nachdem ein Leser sich mit einer Ransomware-Infektion in deren Forum meldete. Deren Forumsbeitrag ist inzwischen aber gel\u00f6scht worden. Sicherheitsforscher Michael Gillespie konnte aber herausfinden, das die Datei mit dem Age-Algorithmus verschl\u00fcsselt worden war.<\/p>\n

QNAP warnt vor Age-Ransomware<\/h2>\n

Nun hat der Hersteller QNAP eine Sicherheitswarnung vor Ransomware herausgegeben, die den Age-Algorithmus zur Verschl\u00fcsselung verwendet. In der Sicherheitswarnung<\/a> vom 25. September 2020 hei\u00dft es:<\/p>\n

The AgeLocker Ransomware has been reported to target QNAP NAS, Linux, and macOS devices. This new ransomware attempts to encrypt the files of victims by using the \"Age\" encryption tool. QNAP Product Security Incident Response Team (PSIRT) has found evidence that the ransomware may attack earlier versions of Photo Station. We are thoroughly investigating the case and will release more information as soon as possible.<\/p><\/blockquote>\n

QNAP liegen also Berichte vor, dass die AgeLocker-Ransomware auf NAS-, Linux- und MacOS-Ger\u00e4te von QNAP abzielt. Diese neue Ransomware versucht, die Dateien der Opfer mit dem Verschl\u00fcsselungsprogramm \"Age\" zu verschl\u00fcsseln. Das QNAP Product Security Incident Response Team (PSIRT) hat Hinweise darauf gefunden, dass die AgeLocker-Ransomware \u00e4ltere Versionen der Photo Station angreifen k\u00f6nnte und untersucht den Fall eingehend. Man will so bald wie m\u00f6glich weitere Informationen ver\u00f6ffentlichen.<\/p>\n

Das sind nat\u00fcrlich sehr unspezifische Informationen, wie auch heise hier anmerkt<\/a>. Weder ist bekannt, welche Sicherheitsl\u00fccken AgeLocker angreift, noch welche Versionen des NAS-Betriebssystem QTS angreifbar bzw. welche Versionen gesch\u00fctzt sind. Ich tippe darauf, dass die oben erw\u00e4hnte Infektion, die \u00fcber Bleeping Computer an Miachel Gillespie ging, nun bei QNAP vorliegt und untersucht wit. Aktuell kann man Besitzern von QNAS-Stationen nur empfehlen, die neueste Firmware zu installieren und die Systeme m\u00f6glichst nicht per Internet erreichbar zu lassen. Problem bei QNAS k\u00f6nnte auch sein, dass der Hersteller bei Software-Updates vom Nutzer deaktivierte Features wieder aktiviert (wie hier diskutiert<\/a>).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWarnung: Schwachstelle in QNAP NAS wird angegriffen, 62.000 Infektionen<\/a>
\nQNAP Sicherheitswarnung vor eCh0raix-Ransomwa<\/a>
\nQSnatch-Malware zielt auf QNAP-NAS-Laufwerke<\/a>
\nWarnung: Ransomware-Angriffe auf QNAP-\/Synology-NAS<\/a>
\nQNAP-NAS und die gekaperten Hosts-Eintr\u00e4ge<\/a>
\nNAS: QNAP und Synology von Meltdown\/Spectre betroffen<\/a>
\nQNAP fixt kritischen Bug, der Datenverlust bewirkt<\/a>
\nSicherheitsinformationen (8. Juni 2020)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch eine kurze Warnung f\u00fcr Nutzer, die QNAP NAS-Laufwerke im Einsatz haben. Die AgeLocker-Ransomware zielt auf solche Laufwerke, die per Internet erreichbar sind, und verschl\u00fcsselt deren Inhalt. In einigen F\u00e4llen werden auch Dateien f\u00fcr eine weitere Erpressung abgezogen. Problem ist … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[41,426],"tags":[930,6144,4715,4328],"class_list":["post-236084","post","type-post","status-publish","format-standard","hentry","category-datentrager","category-sicherheit","tag-nas","tag-qnap","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236084","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=236084"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236084\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=236084"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=236084"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=236084"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}