{"id":252566,"date":"2021-04-29T10:07:33","date_gmt":"2021-04-29T08:07:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252566"},"modified":"2021-04-30T12:44:18","modified_gmt":"2021-04-30T10:44:18","slug":"nachlese-zum-qnap-nas-ransomware-angriff-april-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/29\/nachlese-zum-qnap-nas-ransomware-angriff-april-2021\/","title":{"rendered":"Nachlese zum QNAP-NAS-Ransomware-Angriff (April 2021)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Benutzer von QNAP-NAS-Laufwerken wurden ja im April 2021 Opfer einer breit angelegten Ransomware-Kampagne, bei dem die Laufwerksinhalte verschl\u00fcsselt wurden. Der Hersteller hat mit einem Sicherheitspatch reagiert und auch ein \"Bereinigungstool\" bereitgestellt. Letzteres stie\u00df aber nicht bei jedem Verantwortlichen auf Begeisterung – ich habe gleich auf mehreren Kan\u00e4len R\u00fcckmeldungen von IT-Leuten bekommen. Daher eine Nachlese zu diesem Thema.<\/p>\n

<\/p>\n

QNAP: Sicherheitsl\u00fccke und Angriff<\/h2>\n

\"\"Am 22. April 2021 wurde von QNAP eine Sicherheitswarnung<\/a> zu einer Schwachstelle im HBS 3 Hybrid Backup Sync ver\u00f6ffentlicht. Eine Schwachstelle in Form einer fehlenden Authentifizierung erm\u00f6glichte den Zugriff unbefugter Dritter auf die QNAP-NAS-Laufwerke. Die Schwachstelle wurde von QNAP durch ein Update beseitigt.<\/p>\n

Es war aber wohl f\u00fcr einige Nutzer bereits zu sp\u00e4t, da es einen QLocker-Ransomware-Angriff auf QNAS-Ger\u00e4te gab, bei dem genau diese Schwachstelle zur \u00dcbernahme und zum Verschl\u00fcsseln der Dateien genutzt wurde. QNAP hatte in seiner Sicherheitswarnung auch Hilfestellung und ein Tool zum Beseitigen einer Infektion bereitgestellt. Ich bin im Blog-Beitrag Das QNAP-Desaster: Ransomware-Angriff auf NAS-Einheiten<\/a> auf diese Fragestellungen eingegangen.<\/p>\n

Noch ein Fehler von QNAP?<\/h2>\n

Von Blog-Leser Joachim S., der mich auch auf das QNAP-Thema hingewiesen hatte, kam als R\u00fcckmeldung auf meinen Beitrag folgender Text per Mail (danke daf\u00fcr):<\/p>\n

Irgendwie ist der Vorfall schon \u00e4rgerlich, zumal ich einen Kunden hatte, der nur den myqnapcloud <\/em>Dienst aktiv hatte, kein Port-Forwarding zur QNAP. Der Dienst wurde bei der Einrichtung mehr oder weniger automatisch aktiviert, und obwohl nicht verwendet, leider nicht mehr deaktiviert.<\/p>\n

Gl\u00fcck im Ungl\u00fcck war das die Dateien nur per 7z gepackt wurden, ohne Key. Hat zwar ein bisschen gedauert, aber alles wieder da. Was mich allerdings schockiert hatte war das der Trojaner es tats\u00e4chlich geschafft hatte die Snapshots zu l\u00f6schen.<\/p><\/blockquote>\n

Das deutet doch darauf hin, dass die Entwickler von QNAP in der Firmware gepatzt und solche Fragestellungen schlicht \u00fcbersehen haben – oder?<\/p>\n

Benutzer waren verunsichert oder sauer<\/h2>\n

Blog-Leser Stefan K. hat mich ebenfalls per Mail kontaktiert – erstmals am 26. April 2021, weil er durch eine Fehlerbenachrichtigung auf QNAP-NAS-Ger\u00e4ten alarmiert wurde. Stefan schrieb mir:<\/p>\n

Guten Tag Herr Born,<\/p>\n

alle mir zug\u00e4nglichen QNAP-NAS (5 St\u00fcck) haben heute fast zeitgleich folgenden Fehler gemeldet:<\/p>\n

\"QNAP-NAS-Meldung\"<\/p><\/blockquote>\n

Die Ger\u00e4te stehen an zwei unterschiedlichen Standorten und sind mit einer Ausnahme auch nicht<\/u> aus dem Internet zu erreichen.<\/p>\n

Alle Updates wurden unmittelbar nach dem Release installiert. Verschl\u00fcsselte Dateien wurden nicht gefunden.<\/p>\n

M\u00f6glichweise beseitigt QNAP hier nur \"Altlasten\" \u00fcber eine neue Malware-Signatur.<\/p>\n

Der Vorgang ist aber h\u00f6chst intransparent. So verr\u00e4t das Log z.B. nicht, welche Dateien oder Verzeichnisse eigentlich gel\u00f6scht wurden.<\/p><\/blockquote>\n

Stefan hat dann ein Ticket bei QNAP erstellt und versprach, sich zu melden, wenn es eine Antwort gibt (daher habe ich das Ganze hier im Blog noch nicht aufgegriffen). In einer weiteren Mail erw\u00e4hnte Stefan noch, dass das NAS im Falle einer Infektion nicht neu gestartet werden soll, weil es m\u00f6glich sei, den Schl\u00fcssel auszulesen solange der Prozess noch l\u00e4uft. Das hatte ich im oben verlinkten Artikel angerissen, und QNAP hat es in seiner FAQ<\/a> auch entsprechend aufgef\u00fchrt. Die Hoffnung war, dass man damit die Dateien dann sp\u00e4ter wieder entschl\u00fcsseln kann. Stefan hat zu der obigen Fehlermeldung folgende R\u00fcckmeldung des QNAP-Support auf sein Ticket bekommen:<\/p>\n

Sehr geehrter Herr K.,<\/em><\/p>\n

diese Meldung hat der Malware Remover in den letzten Tagen gebracht, es war ein irref\u00fchrender Hinweis. <\/em>Malware Remover hat diese Meldung gebracht, als die updates gegen Qlocker installiert wurden. <\/em>Lassen Sie sich nicht verunsichern, es handelt sich um eine etwas missformulierte Nachricht, <\/em>die noch nicht korrigiert wurde.<\/em><\/p><\/blockquote>\n

Also handelt es sich, wie von Stefan vermutet, um die Installation von Updates gegen QLocker und nicht um eine Infektion. Aber einigen Leuten d\u00fcrfte das Herz in die Hose gefallen sein, als sie die Malware Remover Meldung \u00fcber entfernte Dateien gesehen haben. Auf Twitter ist mir dann ein Tweet<\/a> von Blog-Leser Hans-Peter Holzer als Antwort auf die QNAP-Warnung zum gleichen Sachverhalt unter die Augen gekommen.<\/p>\n

\"QNAP-Warnung<\/a><\/p>\n

Vielleicht hilft es euch weiter – oder waren euch als m\u00f6glicherweise Betroffene die oben skizzierten Vorg\u00e4nge \/ Sachverhalte von vorneherein klar?<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nQNAP schlie\u00dft RCE-Schwachstelle in QTS NAS-Betriebssystem<\/a>
\nFix f\u00fcr kritische Schwachstelle in QNAP-NAS-Ger\u00e4ten (7.10.2020)<\/a>
\nAgeLocker-Ransomware zielt auf QNAP NAS-Laufwerke<\/a>
\nWarnung: Schwachstelle in QNAP NAS wird angegriffen, 62.000 Infektionen<\/a>
\nQNAP Sicherheitswarnung vor eCh0raix-Ransomware<\/a>
\nQSnatch-Malware zielt auf QNAP-NAS-Laufwerke<\/a>
\nWarnung: Ransomware-Angriffe auf QNAP-\/Synology-NAS<\/a>
\nDas QNAP-Desaster: Ransomware-Angriff auf NAS-Einheiten<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Benutzer von QNAP-NAS-Laufwerken wurden ja im April 2021 Opfer einer breit angelegten Ransomware-Kampagne, bei dem die Laufwerksinhalte verschl\u00fcsselt wurden. Der Hersteller hat mit einem Sicherheitspatch reagiert und auch ein \"Bereinigungstool\" bereitgestellt. Letzteres stie\u00df aber nicht bei jedem Verantwortlichen auf Begeisterung … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-252566","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252566","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252566"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252566\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252566"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252566"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252566"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}