Der DeadBolt-Angriff auf QNAP-Geräte wurde durch eine Sicherheitslücke in der Photo Station-App ermöglicht. Die Angreifer nutzten diese Schwachstelle, um NAS-Systeme, die direkt mit dem Internet verbunden waren, zu verschlüsseln. QNAP reagierte schnell auf die Bedrohung, nachdem sie am 3. September 2022 von der Schwachstelle Kenntnis erlangten. Innerhalb von 12 Stunden wurde eine gepatchte Version der Photo Station veröffentlicht, und es wurden Notfallmaßnahmen ergriffen, um weitere Ransomware-Angriffe zu unterbrechen.
Das QNAP-Team stellte fest, dass die Malware-Angriffe über The Onion Routing (Tor), eine anonyme Verbindung, erfolgten. Daraufhin sammelte QNAP eine Liste bösartiger Hosts und lud diese in die QuFirewall-Anwendung, um verdächtige Pakete zu blockieren und NAS-Hosts vor Angriffen zu schützen. Zusätzlich empfahl QNAP die Verwendung von Snapshots zur Wiederherstellung von NAS-Daten und forderte die Benutzer auf, regelmäßig Snapshots zu erstellen, um wichtige Daten zu schützen
Deadbolt von QNAP entfernen
Um den DeadBolt-Ransomware von einem QNAP-Gerät zu entfernen, sollten Sie folgende Schritte unternehmen:
- QNAP-Gerät vom Internet trennen: Trennen Sie das Gerät sofort vom Internet, um weitere Schäden zu vermeiden.
- Wichtige Daten sichern: Sichern Sie alle wichtigen Daten, die nicht vom Virus betroffen sind, auf ein externes Laufwerk oder eine andere sichere Speicherlösung.
- Firmware aktualisieren: Aktualisieren Sie die Firmware Ihres QNAP-Geräts auf die neueste Version. QNAP veröffentlicht regelmäßig Updates, um Sicherheitslücken zu schließen.
- Vollständige Systemüberprüfung durchführen: Führen Sie eine vollständige Systemüberprüfung mit einer zuverlässigen Antivirus-Software durch.
- QNAP-Unterstützung kontaktieren: Bei schwerwiegenden Infektionen ist es ratsam, sich an den QNAP-Support zu wenden, da sie spezifische Anweisungen und Tools zur Entfernung von DeadBolt anbieten können.
- System neu aufsetzen: In einigen Fällen kann es notwendig sein, das QNAP-Gerät auf die Werkseinstellungen zurückzusetzen und das System neu aufzusetzen.
- Weitere Präventivmaßnahmen ergreifen: Nach der Bereinigung sollten Sie weitere Sicherheitsmaßnahmen ergreifen, wie die Aktivierung von Firewalls, die regelmäßige Änderung von Passwörtern und die Einschränkung des Fernzugriffs.
Update: 08.01.24
QNAP hat kürzlich Updates veröffentlicht, um mehrere kritische Sicherheitslücken in ihren NAS-Systemen zu beheben, die das Risiko von Fernzugriffangriffen und das Einschleusen von Schadcode bergen. Zu den wichtigsten Schwachstellen zählen CVE-2023-23368 und CVE-2023-23369, beide mit hohen CVSS-Bewertungen von 9,8 bzw. 9,0. Diese Schwachstellen betreffen verschiedene Versionen der Betriebssysteme QTS und QuTS sowie Anwendungen wie Multimedia Console und Media Streaming add-on. CVE-2023-23368 ist eine Befehlsinjektionsanfälligkeit, die es einem Angreifer ermöglicht, über ein Netzwerk willkürliche Betriebssystembefehle auszuführen. CVE-2023-23369 ist ebenfalls eine Befehlsinjektionsanfälligkeit, die verschiedene QNAP-Betriebssystemversionen betrifft.
Eine weitere Schwachstelle, CVE-2022-27596, wurde ebenfalls von QNAP behoben. Diese Schwachstelle ist eine SQL-Injektionsanfälligkeit, die in den Versionen QTS 5.0.1 und QuTS hero h5.0.1 auftritt. Diese Schwachstelle ermöglicht es Angreifern, Schadcode einzuschleusen, wenn sie ausgenutzt wird. QNAP hat Updates für verschiedene Versionen ihrer Software veröffentlicht, um diese Schwachstellen zu beheben.
Die Updates sind insbesondere wichtig, da QNAP-Geräte in der Vergangenheit Ziele von Ransomware-Angriffen waren, die bekannte Schwachstellen ausnutzten. Angesichts der Schwere und der niedrigen Angriffskomplexität dieser Schwachstellen sowie der häufigen Nutzung von QNAP-Geräten für Ransomware und andere Bedrohungen ist es für die Benutzer entscheidend, ihre Systeme auf dem neuesten Stand zu halten.
QNAP empfiehlt dringend, die Sicherheitsupdates so bald wie möglich anzuwenden. Benutzer können die Updates über das Kontrollpanel ihrer QNAP-Geräte herunterladen und installieren oder die erforderlichen Updates manuell von der QNAP-Website herunterladen und anwenden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: