DeadBolt: Neue Ransomware ver­schlüs­selt NAS-Systeme von QNAP

Frank Hüber
122 Kommentare
DeadBolt: Neue Ransomware ver­schlüs­selt NAS-Systeme von QNAP
Bild: madartzgraphics

Nachdem QNAP Anfang Januar vor Ransomware-Angriffen auf die hauseigenen NAS-Systeme gewarnt und kurz darauf Sicherheitslücken in den NAS-Betriebssystemen QTS und QuTS hero sowie Apps geschlossen hatte, die das Ausführen beliebigen Codes ermöglichten, tauchen seit gestern Angriffe auf QNAP-NAS auf, die diese verschlüsseln.

DeadBolt soll 0-Day-Lücke nutzen

Die DeadBolt genannte Ransomware greift NAS-Systeme von QNAP an, auf die über das Internet zugegriffen werden kann – ähnlich wie in den letzten Jahren und Anfang dieses Jahres erneut die Ransomware Qlocker. QNAP hatte deshalb bereits zur Deaktivierung der Portweiterleitung und UPNP aufgerufen, um das NAS nicht von außen zugänglich zu machen. Ob die letzten Updates für QTS und QuTS hero die nun ausgenutzte Sicherheitslücke bereits schließen, ist noch nicht bekannt, da es sich laut Angreifern jedoch um eine Zero-Day-Lücke handeln soll, ist nicht davon auszugehen.

Entschlüsselung für 0,03 Bitcoin

Die Hackergruppe fordert von QNAP jedenfalls fünf Bitcoin – umgerechnet knapp 170.000 Euro – , um Details zur Sicherheitslücke preiszugeben, damit diese geschlossen werden kann.

Von Nutzern, deren Dateien auf dem NAS durch die Ransomware verschlüsselt worden sind, fordern sie hingegen 0,03 Bitcoin, was bei aktuellem Kurs rund 1.000 Euro entspricht. Sobald die Zahlung eingegangen ist, wollen die Angreifer über eine Transaktion zum Nutzer den Schlüssel zum Entschlüsseln der Daten preisgeben.

50 Bitcoin für Master-Key

Sie bieten QNAP zudem die Master-Schlüssel an, mit dem alle betroffenen NAS-Systeme wieder entschlüsselt werden können – verlangen dafür jedoch 50 Bitcoin, also rund 1,7 Millionen Euro. Zudem werde man alle Details der Sicherheitslücke preisgeben.

QNAP veröffentlicht Warnung

QNAP hat auf die seit gestern verzeichneten Angriffe heute mit einer Warnung reagiert und die empfiehlt allen Nutzern nicht nur das Update auf die neuesten Software-Versionen, sondern explizit noch einmal die Deaktivierung der Portweiterleitung und von UPNP, damit das NAS-System nicht über das Internet angegriffen werden kann.

Die Redaktion dankt Community-Mitglied „ Ranayna“ für den Hinweis zu dieser Meldung.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!