Deadbold Angriff auf QNAP NAS-Systeme

Table of Contents

Der DeadBolt-Angriff auf QNAP-Geräte wurde durch eine Sicherheitslücke in der Photo Station-App ermöglicht. Die Angreifer nutzten diese Schwachstelle, um NAS-Systeme, die direkt mit dem Internet verbunden waren, zu verschlüsseln. QNAP reagierte schnell auf die Bedrohung, nachdem sie am 3. September 2022 von der Schwachstelle Kenntnis erlangten. Innerhalb von 12 Stunden wurde eine gepatchte Version der Photo Station veröffentlicht, und es wurden Notfallmaßnahmen ergriffen, um weitere Ransomware-Angriffe zu unterbrechen.

Das QNAP-Team stellte fest, dass die Malware-Angriffe über The Onion Routing (Tor), eine anonyme Verbindung, erfolgten. Daraufhin sammelte QNAP eine Liste bösartiger Hosts und lud diese in die QuFirewall-Anwendung, um verdächtige Pakete zu blockieren und NAS-Hosts vor Angriffen zu schützen. Zusätzlich empfahl QNAP die Verwendung von Snapshots zur Wiederherstellung von NAS-Daten und forderte die Benutzer auf, regelmäßig Snapshots zu erstellen, um wichtige Daten zu schützen

Deadbolt von QNAP entfernen

Um den DeadBolt-Ransomware von einem QNAP-Gerät zu entfernen, sollten Sie folgende Schritte unternehmen:

  1. QNAP-Gerät vom Internet trennen: Trennen Sie das Gerät sofort vom Internet, um weitere Schäden zu vermeiden.
  2. Wichtige Daten sichern: Sichern Sie alle wichtigen Daten, die nicht vom Virus betroffen sind, auf ein externes Laufwerk oder eine andere sichere Speicherlösung.
  3. Firmware aktualisieren: Aktualisieren Sie die Firmware Ihres QNAP-Geräts auf die neueste Version. QNAP veröffentlicht regelmäßig Updates, um Sicherheitslücken zu schließen.
  4. Vollständige Systemüberprüfung durchführen: Führen Sie eine vollständige Systemüberprüfung mit einer zuverlässigen Antivirus-Software durch.
  5. QNAP-Unterstützung kontaktieren: Bei schwerwiegenden Infektionen ist es ratsam, sich an den QNAP-Support zu wenden, da sie spezifische Anweisungen und Tools zur Entfernung von DeadBolt anbieten können.
  6. System neu aufsetzen: In einigen Fällen kann es notwendig sein, das QNAP-Gerät auf die Werkseinstellungen zurückzusetzen und das System neu aufzusetzen.
  7. Weitere Präventivmaßnahmen ergreifen: Nach der Bereinigung sollten Sie weitere Sicherheitsmaßnahmen ergreifen, wie die Aktivierung von Firewalls, die regelmäßige Änderung von Passwörtern und die Einschränkung des Fernzugriffs.

Update: 08.01.24

QNAP hat kürzlich Updates veröffentlicht, um mehrere kritische Sicherheitslücken in ihren NAS-Systemen zu beheben, die das Risiko von Fernzugriffangriffen und das Einschleusen von Schadcode bergen. Zu den wichtigsten Schwachstellen zählen CVE-2023-23368 und CVE-2023-23369, beide mit hohen CVSS-Bewertungen von 9,8 bzw. 9,0. Diese Schwachstellen betreffen verschiedene Versionen der Betriebssysteme QTS und QuTS sowie Anwendungen wie Multimedia Console und Media Streaming add-on. CVE-2023-23368 ist eine Befehlsinjektionsanfälligkeit, die es einem Angreifer ermöglicht, über ein Netzwerk willkürliche Betriebssystembefehle auszuführen. CVE-2023-23369 ist ebenfalls eine Befehlsinjektionsanfälligkeit, die verschiedene QNAP-Betriebssystemversionen betrifft.

Eine weitere Schwachstelle, CVE-2022-27596, wurde ebenfalls von QNAP behoben. Diese Schwachstelle ist eine SQL-Injektionsanfälligkeit, die in den Versionen QTS 5.0.1 und QuTS hero h5.0.1 auftritt. Diese Schwachstelle ermöglicht es Angreifern, Schadcode einzuschleusen, wenn sie ausgenutzt wird. QNAP hat Updates für verschiedene Versionen ihrer Software veröffentlicht, um diese Schwachstellen zu beheben.

Die Updates sind insbesondere wichtig, da QNAP-Geräte in der Vergangenheit Ziele von Ransomware-Angriffen waren, die bekannte Schwachstellen ausnutzten. Angesichts der Schwere und der niedrigen Angriffskomplexität dieser Schwachstellen sowie der häufigen Nutzung von QNAP-Geräten für Ransomware und andere Bedrohungen ist es für die Benutzer entscheidend, ihre Systeme auf dem neuesten Stand zu halten.

QNAP empfiehlt dringend, die Sicherheitsupdates so bald wie möglich anzuwenden. Benutzer können die Updates über das Kontrollpanel ihrer QNAP-Geräte herunterladen und installieren oder die erforderlichen Updates manuell von der QNAP-Website herunterladen und anwenden.

Related Posts

Ransomware as a Service Kollektiv Hive nach Polizeischlag geschwächt

Das Hackerkollektiv “Hive”, bekannt für seine Ransomware-Angriffe, wurde kürzlich durch eine internationale Strafverfolgungsaktion erheblich geschwächt. Deutsche Ermittler, in Zusammenarbeit mit Behörden aus den Niederlanden und den USA, haben die Kontrolle über das Ransomware-Netzwerk von Hive übernommen. Diese Aktion umfasste auch die Polizei in der Ukraine und wurde von internationalen Strafverfolgungsbehörden wie Europol und Eurojust unterstützt. Dabei gelang es, den Anführer der Bande sowie 5 weitere Mitglieder der Gruppe zu verhaften. Die Gruppe war für Cyberangriffe in 71 Ländern verantwortlich und nutzte Schadsoftware wie LockerGoga, MegaCortex, HIVE und Dharma​​.

Read More

Das richtige Verhalten nach IT Sicherheitsvorfällen

Bei einer Datenpanne, also einem IT-Sicherheitsvorfall, bei dem es zu einer Verletzung des Schutzes personenbezogener Daten kommt, sind bestimmte Schritte nach der Datenschutz-Grundverordnung (DSGVO) erforderlich. Diese Schritte dienen dazu, die Folgen der Panne zu minimieren und die Betroffenen sowie die zuständigen Behörden angemessen zu informieren.

Read More

Phishing-Angriffe - die unterschätzte Bedrohung

Phishing gehört zu den häufigsten Cyber-Bedrohungen, denen Unternehmen und ihre Mitarbeiter ausgesetzt sind. Phishing zielt darauf ab, insbesondere mit betrügerischen E-Mails an die Benutzerkennungen und zugehörigen Passwörter der Mitarbeiter zu gelangen. Diese Angriffe können gravierende Folgen haben, von Identitätsdiebstahl bis hin zu finanziellem Verlust und unberechtigtem Zugang zu Unternehmensnetzwerken.

Read More