{"id":270316,"date":"2022-07-08T10:22:27","date_gmt":"2022-07-08T08:22:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270316"},"modified":"2022-07-08T10:35:17","modified_gmt":"2022-07-08T08:35:17","slug":"qnap-warnt-vor-checkmate-ransomware-angriffen-auf-seine-nas-juli-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/08\/qnap-warnt-vor-checkmate-ransomware-angriffen-auf-seine-nas-juli-2022\/","title":{"rendered":"QNAP warnt vor Checkmate-Ransomware-Angriffen auf seine NAS (Juli 2022)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/07\/08\/qnap-warnt-vor-checkmate-ransomware-angriffen-auf-seine-nas-juli-2022\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Der taiwanesische Hersteller QNAP hat zum 7. Juli 2022 eine Warnung herausgegeben, dass eine neue Checkmate-Ransomware seine NAS-Einheiten \u00fcber per Internet erreichbar SMB-Dienste angreift. Vermutlich werden dann die Zugangsdaten bei schwachen Passw\u00f6rtern per Brute-Force-Angriff geknackt und die Datentr\u00e4ger dann verschl\u00fcsselt. Erste F\u00e4lle scheint es bereits im Juni 2022 gegeben zu haben.<\/p>\n<p><!--more--><\/p>\n<h2>QNAP-Warnung<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/dd84e6509c0742549b3d1936966d01d6\" alt=\"\" width=\"1\" height=\"1\" \/>Die Warnung findet sich im QNAP Advisory <a href=\"https:\/\/www.qnap.com\/en\/security-advisory\/QSA-22-21\" target=\"_blank\" rel=\"noopener\">QSA-22-21 Checkmate Ransomware via SMB Services Exposed to the Internet<\/a>. Aktuell ist noch nicht allzu viel bekannt, QNAP untersucht noch die Vorf\u00e4lle. QNAP teilt folgende Vermutung im Advisory mit:<\/p>\n<blockquote><p>Vor kurzem wurden wir auf eine neue Ransomware namens Checkmate aufmerksam gemacht. Vorl\u00e4ufigen Untersuchungen zufolge greift Checkmate \u00fcber SMB-Dienste an, die dem Internet ausgesetzt sind, und setzt einen W\u00f6rterbuchangriff ein, um Konten mit schwachen Passw\u00f6rtern zu knacken. Sobald sich der Angreifer erfolgreich bei einem Ger\u00e4t anmeldet, verschl\u00fcsselt er Daten in freigegebenen Ordnern und hinterl\u00e4sst in jedem Ordner eine L\u00f6segeldforderung mit dem Dateinamen \"!CHECKMATE_DECRYPTION_README\".<\/p><\/blockquote>\n<p>Das Unternehmen will so bald wie m\u00f6glich weitere Informationen zur Verf\u00fcgung stellen, untersucht aktuell aber wohl noch, ob vielleicht eine Schwachstelle ausgenutzt wird.<\/p>\n<h2>Opfer schlagen in Foren auf<\/h2>\n<p>Die Kollegen von Bleeping Computer, die \u00fcber das Advisory <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/qnap-warns-of-new-checkmate-ransomware-targeting-nas-devices\/\" target=\"_blank\" rel=\"noopener\">hier berichten<\/a>, verweisen auf das eigene Forum, wo sich <a href=\"https:\/\/www.bleepingcomputer.com\/forums\/t\/773059\/checkmate-ransomware-checkmate-support-topic\/\" target=\"_blank\" rel=\"noopener\">Opfer der Ransomware bereits Anfang Juni 2022 gemeldet<\/a> haben.<\/p>\n<blockquote><p>Hi!<br \/>\nI need some help wit new (I believe)\u00a0 ransomware, which encrypt files on QNAP storage of my clients. Ransom puts .checkmate file extension.<\/p>\n<p>[&#8230;]<\/p>\n<p>&#8230;&#8230;&#8230;<br \/>\nYou was hacked by CHECKMATE team.<\/p>\n<p>All your data has been encrypted, backups have been deleted.<\/p>\n<p>Your unique ID: bc75c72[edited]<\/p>\n<p>You can restore the data by paying us money.<\/p>\n<p>We have encrypted 267183 office files.<\/p>\n<p>We determine the amount of the ransom from the number of encrypted office files.<\/p>\n<p>The cost of decryption is 15000 USD.<\/p>\n<p>Payment is made to a unique bitcoin wallet.<\/p>\n<p>Before paying, you will be able to make sure that we can actually decrypt your files.<\/p>\n<p>For this:<\/p>\n<p>1) Download and install Telegram Messenger *ttps:\/\/telegram.org\/<\/p>\n<p>2) Find us *ttps:\/\/t.me\/checkmate_team<\/p>\n<p>3) Send a message with your unique ID and 3 files for test decryption. Files should be no more than 15mb each.<\/p>\n<p>4) In response, we will send the decrypted files and a bitcoin wallet for payment. Bitcoin wallet is unique for you, so we can find out what you paid.<\/p>\n<p>5) After the payment is received, we will send you the key and the decryption program.<\/p><\/blockquote>\n<p>Nachfolgend ist ein Bild eines verschl\u00fcsselten Ordners zu finden. Die Forderung in H\u00f6he von 15.000 US-Dollar erscheint mir recht happig &#8211; da d\u00fcrften nicht viele Opfer zahlen k\u00f6nnen und wollen.<\/p>\n<p><img decoding=\"async\" title=\"Checkmate Ransomware \" src=\"https:\/\/i.imgur.com\/cb85ioM.png\" alt=\"Checkmate Ransomware \" \/><br \/>\nDateien von Checkmate Ransomware verschl\u00fcsselt<\/p>\n<h2>Empfohlene Gegenma\u00dfnahmen<\/h2>\n<p>Anbieter QNAP empfiehlt, sicherzustellen, dass der SMB-Dienst der NAS-Ger\u00e4te nicht per Internet erreichbar ist. Wer remote auf das NAS zugreifen will, soll einen VPN-Dienst verwenden. Zudem soll das Betriebssystem der NAS aktuell gehalten werden und SMBv1 im deaktiviert werden. Die erforderlichen Schritte sind im Advisory beschrieben.<\/p>\n<p>Weitere Empfehlungen lauten, die Passw\u00f6rter zu \u00fcberpr\u00fcfen und sicherzustellen, dass alle Passw\u00f6rter sicher genug sind. Weiterhin empfiehlt der Hersteller seinen Nutzern, die Daten auf den NAS-Einheiten zu sichern und regelm\u00e4\u00dfig Snapshots zu erstellen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der taiwanesische Hersteller QNAP hat zum 7. Juli 2022 eine Warnung herausgegeben, dass eine neue Checkmate-Ransomware seine NAS-Einheiten \u00fcber per Internet erreichbar SMB-Dienste angreift. Vermutlich werden dann die Zugangsdaten bei schwachen Passw\u00f6rtern per Brute-Force-Angriff geknackt und die Datentr\u00e4ger dann verschl\u00fcsselt. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/07\/08\/qnap-warnt-vor-checkmate-ransomware-angriffen-auf-seine-nas-juli-2022\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[930,4328],"class_list":["post-270316","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-nas","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270316","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=270316"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270316\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=270316"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=270316"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=270316"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}