{"id":262081,"date":"2022-01-28T11:10:54","date_gmt":"2022-01-28T10:10:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262081"},"modified":"2024-02-04T21:40:53","modified_gmt":"2024-02-04T20:40:53","slug":"qnap-probt-zwangsupdate-nach-3-600-deadbolt-ransomware-infektionen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/28\/qnap-probt-zwangsupdate-nach-3-600-deadbolt-ransomware-infektionen\/","title":{"rendered":"QNAP probt Zwangsupdate nach 3.600 DeadBolt-Ransomware-Infektionen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]QNAP-Nutzer werden aktuell wohl Opfer der DeadBolt-Ransomware – ich hatte es nicht im Blog, aber binnen einer Woche waren es wohl \u00fcber 3.600 Opfer. Der NAS-Hersteller greift nun zu drastischen Mitteln und versucht die Firmware betroffener Ger\u00e4te zwangsweise zu aktualisieren. Das f\u00fchrt aber auf einigen Ger\u00e4ten zu Fehlfunktionen (iSCSI-Ger\u00e4te funktionieren nicht mehr).<\/p>\n

<\/p>\n

Angriffe auf QNAP-Systeme<\/h2>\n

\"\"Ich habe vor einigen Tagen im Artikel QNAP-Laufwerke im Januar 2022 Ziel von Ransomware-Angriffen<\/a> \u00fcber das Thema Ransomware-Angriffe auf QNAP-Ger\u00e4te berichtet. In den letzten 14 Tagen sind mir immer mal wieder Hinweise auf Probleme und Schwachstellen mit QNAP-Firmware untergekommen. Und es wurden Besitzer von QNAP NAS-Laufwerken Opfer diverser Ransomware-Familien. Nachfolgend ist ein typischer Hilferuf eines Betroffenen in einer Facebook-QNAP-Gruppe abgebildet.<\/p>\n

\"QNAP<\/p>\n

Der Ratschlag war, sicherzustellen, dass die Ger\u00e4te nicht per Internet erreichbar sind und\u00a0 die Firmware sowie die verwendete QNAP-Software auf dem aktuellen Stand ist. Die Kollegen von Bleeping Computer haben die Tage ebenfalls im Beitrag New DeadBolt ransomware targets QNAP devices, asks 50 BTC for master key<\/a> vor einer neuen Angriffswelle auf QNAP-Ger\u00e4te gewarnt.<\/p>\n

Die Dateien der verschl\u00fcsselten Ger\u00e4te werden mit der Erweiterung .deadbolt versehen. Die Ransomware ersetzt au\u00dferdem die regul\u00e4re HTML-Anmeldeseite durch eine Nachricht, in der 0,03 Bitcoins im Wert von etwa 1.100 US-Dollar gefordert werden, um einen Entschl\u00fcsselungsschl\u00fcssel zu erhalten und Daten wiederherzustellen. Der Bedrohungsakteur behauptet, eine Zero-Day-Schwachstelle zu nutzen, um QNAP-Ger\u00e4te zu hacken und Dateien mit der DeadBolt-Ransomware zu verschl\u00fcsseln.<\/p>\n

QNAP-Zwangsupdate nach Infektionswelle<\/h2>\n

Jetzt berichten die Kollegen von Bleeping Computer im Beitrag QNAP force-installs update after DeadBolt ransomware hits 3,600 devices<\/a>, dass QNAP zu drastischeren Mitteln greift, nachdem 3.600 QNAP-Einheiten durch die DeadBolt-Ransomware verschl\u00fcsselt wurden (siehe auch diesen Tweet<\/a>). QNAP erzwingt f\u00fcr alle NAS-Ger\u00e4te der Kunden ein Firmware-Update auf Version 5.0.0.1891<\/a>. Dies ist die neueste Firmware, die am 23. Dezember 2021 ver\u00f6ffentlicht wurde.<\/p>\n

QNAP-Besitzer und IT-Administratoren berichteten BleepingComputer, dass QNAP dieses Firmware-Update auf den Ger\u00e4ten erzwungen habe, selbst wenn automatische Updates deaktiviert waren. Das ist nicht so ohne, gibt QNAP doch schon in den Release-Notes an, dass der Support f\u00fcr USB-Drucker durch die Firmware entfernt wurde. Zudem listet die Beschreibung der \u00c4nderungen der Firmware einige bekannte Probleme auf.<\/p>\n

Und es kommt zu Kollateralsch\u00e4den. Einige Besitzer stellten jedoch fest, dass iSCSI-Verbindungen zu den Ger\u00e4ten nach dem Update nicht mehr funktionierten. Auf reddit.com gibt es den Beitrag QNAP ISCSI Failed after update (FIX)<\/a>, in dem ein Benutzer vor Problemen warnt.<\/p>\n

Just thought I would give everyone a heads-up. A couple of our QNAPS lost ISCSI connection last night. After a day of tinkering and pulling our hair out we finally found it was because of the update.<\/p>\n

It has not done it for all of the QNAPs we manage but we finally found the resolution.<\/p>\n

In \"Storage & Snapshots > ISCSI & Fiber Channel\" right-click on your Alias (IQN) select \"Modify > Network Portal\" and select the adapter you utilize for ISCSI.<\/p>\n

All fixed. I hope this helps someone.<\/p><\/blockquote>\n

Alle seine iSCSI-Verbindungen funktionierten nach dem Upgrade nicht mehr. Das konnte aber \u00fcber die Einstellungen, wie oben beschrieben, durch erneutes Zuweisen des Adapters behoben werden. Als Reaktion auf zahlreiche Beschwerden \u00fcber ein von QNAP erzwungenes Firmware-Update antwortete ein QNAP-Supportmitarbeiter<\/a>, dass dies dem Schutz der Benutzer vor den aktuellen DeadBolt-Ransomware-Angriffen diene.<\/p>\n

\"Qnap must let us know how and why they did this. People have so many different configurations on their machines, that may or may not function well on new updates. That Qnap needs to explain why the forced update was necessary and how they did it.\"<\/p>\n

We are trying to increase protection against deadbolt. If recommended update is enabled under auto-update, then as soon as we have a security patch, it can be applied right away.<\/p>\n

Back in the time of Qlocker, many people got infected after we had patched the vulnerability. In fact, that whole outbreak was after the patch was released. But many people don't apply a security patch on the same day or even the same week it is released. And that makes it much harder to stop a ransomware campaign. We will work on patches\/security enhancements against deadbolt and we hope they get applied right away.<\/p>\n

I know there are arguments both ways as to whether or not we should do this. It is a hard decision to make. But it is because of deadbolt and our desire to stop this attack as soon as possible that we did this.<\/p><\/blockquote>\n

Zusammengefasst: Man versucht den Schutz gegen DeadBolt zu erh\u00f6hen. Auch Qlocker-Infektionen h\u00e4tten ja ihre Spuren bei den Benutzern hinterlassen. Aktuell ist f\u00fcr mich nicht klar, wie das Firmware-Update vom Dezember 2021 da helfen soll. Jemand von diesem Zwangsupdate betroffen?<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]QNAP-Nutzer werden aktuell wohl Opfer der DeadBolt-Ransomware – ich hatte es nicht im Blog, aber binnen einer Woche waren es wohl \u00fcber 3.600 Opfer. Der NAS-Hersteller greift nun zu drastischen Mitteln und versucht die Firmware betroffener Ger\u00e4te zwangsweise zu aktualisieren. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-262081","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262081","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262081"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262081\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262081"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262081"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262081"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}