News Ransomware: Nach QNAP & Asustor ist Terra­Master Ziel von DeadBolt

[Kettenhunt]

Backups sind anstrengend anzufertigen/einzurichten und braucht man meistens nicht. 😁

Vielen ist der Sinn und Nutzen von Backup gar nicht bewusst bzw. kommt denen nicht in den Sinn oder gar davon mal betroffen zu sein.
So ala "Schreibt mir mal, habe ein neues Telefon bekommen und eure Nummern nicht mehr."

 

[M-X]

Kein Mitleid.

Eine Firewall hätte da geholfen, aber der Windowsdefender hat hier wohl dummerweise versagt. Warum auch immer. 🤷‍♀️

Da machst du dir es aber sehr einfach. Der Kunde verlässt sich halt hier auf den Hersteller das ein beworbenes Feature funktioniert.

Der Defender greift hier natürlich nicht weil er nicht auf dem NAS läuft....

 

[Gamefaq]

Genau das... das NAS ist nicht uebers Internet angreifbar, weil es eben nicht im Internet steht.

Du nutzt die VPN von deinem Client um in dein 'internes Netz' (Heimnetz) zu kommen um von dort auf die NAS zuzugreifen.

Heist also du hast einen weiteren PC auf dem der VPN Client läuft und dieser dann über LAN auf den NAS zugreift? Weil ich weis das es für die NAS der Hersteller auch eine VPN App gibt. Nur da sehe ich das Problem das wenn der NAS gleichzeitig der VPN Client ist dann hängt er doch im Netz? Und in dem Moment wo er im Netz ist , ist er auch angreifbar über Sicherheitslücken. Denn genau das nutzen doch diese Angreifer hier. Lücken die im OS sind (welche noch nicht gepacht wurden entweder weil noch nicht öffentlich entdeckt oder Hersteller noch kein Update bereitstellt das sie behebt) über die man Zugriff auf den NAS bekommt.

 

[P4ge]

"Schön" zu sehen das jetzt alle anderen genauso betroffen sind wie QNAP.

Was wurde da umgenörgelt, dass Firmware sich einfach so installiert. Hauptsache Schutz.
HIER wissen wir, dass die Lücke genauso alt wie bei QNAP ist, aber nichts bisher getan wurde.

An die Leute mit ihren "Victim-Blaming" Argumenten. Wenn ich weiß das Sicherheitslücken für NAS auftauchen, sollte man sensibilisiert sein, egal welchen Hersteller man hat.
Zum Oma Beispiel (klauen der Handtasche), wenn man die offen auf dem Rücken durch eine volle Innenstadt trägt hält sich bei jedem das Mitleid in Grenzen. Es kommt immer auf die Umstände an.

Haben wir 2022 Mitleid mit Menschen die auf eine Email mit dem Hinweis "Glückwunsch sie haben 5,2 Millarden geerbt, wenn sie mir nur 10.000,- € Anwaltsgebühren überweisen." reinfallen?

 

[Benji18]

Eine Firewall hätte da geholfen, aber der Windowsdefender hat hier wohl dummerweise versagt. Warum auch immer. 🤷‍♀️

Eine klassische FW hätte da genau genommen garnix dran geändert, da simple port erlaubt/nicht relaubt regeln keine intelligenten Ransomware angriffe blocken können.

Da brauchst du schon mehr IDS/IPS und Advanced Festureset, da bezweifle ich das viele Nutzer sowas zuhause haben (mal abgesehen von der Leistungstärkeren HW die man braucht kostet das üblicherweise auch was).

Die einfachste Lösung in solchen fällen wäre Standard Port ändern ^^

 

[Forum-Fraggle]

Die Schuld liegt wohl bei Kunden und Herstellern. Die Kunden wollen günstiges Plug&Play und die Hersteller bedienen das und versuchen natürlich, den Aufwand gering zu halten.

Man kann natürlich nicht von den Kunden verlangen, dass sie sich tief in die Materie eingraben, nur weil sie Speicherplatz benötigen. Leider ist es als Privatperson auch nicht so einfach, einen Fachmann zu beauftragen.
Die auf Firmen spezialisierten Systemhäuser haben auf so einen Kleinkram keine Lust und die "PC Helfer für Privatpersonen" aus den Kleinanzeigen entsprechen einer Lotterie. Vielleicht steckt da jemand mit Know-How dahinter, vielleicht aber auch nur "Opa Heinz mit der Win98 Rettungs-CD"

Wo soll denn die Schuld des Kunden sein?

 

[calippo]

Wo soll denn die Schuld des Kunden sein?

Niedrige Zahlungsbereitschaft, keine Ambitionen, sich mit Anleitungen und den Einstellungen zu beschäftigen, keine Bereitschaft, einen Profi zu bezahlen.

 

[juro0n]

Als persönlich betroffener:
Ich habe ein Nas von ASUSTOR. Deadbolt hat das verschlüsselt. Das Nas lief Jahre lang im "Autopilot". Ich habe es einmal eingerichtet. Nach bestem Wissen und Gewissen. Anleitungen gelesen, Einstellungen vorgenommen, usw. Ich bin sicher kein Netzwerkexperte, aber versierter Nutzer seit Jahrzehnten. Ich weiß, dass Hersteller bisweilen etwas schlampig sind beim Patchen. Das Ding hat aber in schöner Regelmäßigkeit Updates bekommen und immer 1a funktioniert. Dann habe ich es also weitestgehend sich selbst überlassen.

Ich habe KEINE SCHULD an irgendwas!!! Schuld sind die ARSCHLÖCHER, die so etwas machen. Die Hersteller sind ebenfalls nicht per se in der Schuld. Ja, sie sollen updaten und Sicherheitslücken schließen. Soweit ich das beurteilen kann, hat Asustor das getan - zumindest halbwegs ordentlich. Schuld sind deswegen diejenigen, die die Daten verschlüsseln, weil sie anstatt für alle Beteiligten auf die Lücken hinzuweisen und beim Schließen zu helfen, kriminell werden und Opfer erpressen!

Wer hier von Schuld der Kunden oder Hersteller spricht, bedient die gleiche Logik, dass Menschen selber schuld sind, die vergewaltigt werden, wenn sie aufreizende Kleidung tragen, oder die Hersteller, die diese Kleidung anfertigen. DAS IST NICHT SO. Schuldig sind die Täter. Niemand sonst.

Amen.

Für die, die es interessiert: Ich hatte ein Backup, meine Daten sind zu 95% erhalten. Ich schreibe also nicht aus Frust über den Datenverlust, sondern aus Frust über die Verdrehung von Opfer und Täter, die hier teilweise im Thread passiert.

 

[Frank]

Artikel-Update: TerraMaster hat inzwischen bestätigt, dass die neue Firmware 4.2.30 (oder neuer) vor der Ransomware DeadBolt und somit einer Verschlüsselung der Daten des NAS bei einem Angriff schützen soll. Nutzer im Forum von ComputerBase hatten gestern bereits gemeldet, dass ihnen diese neue Version in der Oberfläche des NAS angeboten wird, die über die Website von TerraMaster noch nicht angeboten wurde, inzwischen aber auch dort bereit steht. Wessen NAS bereits verschlüsselt ist, dem bleibt aber nur die Zahlung des Lösegeldes oder die komplette Neuinstallation von TOS, was mit einem Verlust aller Daten auf den Laufwerken einhergeht und das Einspielen eines Backups erforderlich macht, das hoffentlich besteht.

Changelog des Firmware-Updates 4.2.30

• Fixed a security vulnerability related to the Deadbolt ransomware attack.
• Optimized fan control during HDD hibernation.

 

[H3llF15H]

Schön, dass hier zumindest kurzfristig nach Bekanntwerden der Sicherheitslücke nachgebessert wird.

 

[bad_sign]

Wessen NAS bereits verschlüsselt ist, dem bleibt aber nur die Zahlung des Lösegeldes oder die komplette Neuinstallation von TOS, was mit einem Verlust aller Daten einhergeht.

Ihr meint doch sicher das Backup einspielen, denn das hat doch sicher jeder, oder?

 

[Frank]

Ihr meint doch sicher das Backup einspielen, denn das hat doch sicher jeder, oder?

Natürlich! ;-) Ich hab es mal konkretisiert. Die Daten auf den Laufwerken sind halt weg.

 

[P4ge]

Ich schreibe also nicht aus Frust über den Datenverlust, sondern aus Frust über die Verdrehung von Opfer und Täter, die hier teilweise im Thread passiert.

Ist es nicht sehr "leichtfertig" einfach das NAS out-of-the Box 24/7/365 zu betreiben? Ohne jedwede weitere Prüfung?
Die Autoinstallation gibt vor, dass Ports zum Internet geöffnet werden? Sicherheitslücken von anderen Herstellern lassen keinen Zweifel aufkommen einmal nach dem Rechten zu sehen?

Deshalb habe ich auch kein Mitleid. Ja du hast mein Mitgefühl, dass war/ist bestimmt alles sehr ärgerlich, aber auch vermeidbar. Wenn als nächstes Buffalo oder WD betroffen sind, mit genau der gleichen Lücke, ist das immer noch Mitleid?

Täter/Opfer halte ich hier raus. Der Hersteller hat einfach zu wenig und zulangsam getan (siehe QNAP Zeitpunkt), der Kunde sollte in jeder Hinsicht mehr sensibilisiert werden, die Hacker sollten sich auch fragen ob der Aufwand für solche Lücken und die Erpressung daraus sich finanziell wirklich lohnt.
Ganz im Ernst, wenn meine 72TB (nicht gesicherten) NAS, verschlüsselt/abrauchen/gestohlen werden, ist das für mich schlimm, aber ich weiß auch warum das passiert, weil ich zu lässig mit der Sicherheit umgegangen bin. Dafür bin alleine ich verantwortlich.

 

[Anzony]

Sollte ich als Synology-NAS-Besitzer auch mein NAS vom Netz nehmen? Da gab's ja auch kürzlich Sicherheitslücken, für die erst teilweise Update verfügbar sind...

 

[juro0n]

Sollte ich als Synology-NAS-Besitzer auch mein NAS vom Netz nehmen? Da gab's ja auch kürzlich Sicherheitslücken, für die erst teilweise Update verfügbar sind...

Aus der jetzigen Erfahrung würde ich erstmal auf jeden Fall das Nas vom Netz nehmen. Reicht ja, den Internet-Zugang zu kappen. Im Lan darf es ja noch erreichbar sein. Ich werde das jedenfalls jetzt dauerhaft so handhaben.
Daten auf dem Rechner, Backup 1 im Nas mit Dauerzugriff aus dem Lan, Backup 2 auf externer HDD, kurzfristig auch online verfügbare Daten in der Cloud.

 

[benjiman]

Heist also du hast einen weiteren PC auf dem der VPN Client läuft und dieser dann über LAN auf den NAS zugreift? Weil ich weis das es für die NAS der Hersteller auch eine VPN App gibt. Nur da sehe ich das Problem das wenn der NAS gleichzeitig der VPN Client ist dann hängt er doch im Netz?

Also ich konkret nutze Raspi mit PIVPN/Wireguard im Heimnetz als VPN Server, Clients hab ich mehrere die auf den Server von aussen zugreifen koennen ohne das die NAS selber im Internet steht.

Auch wenn du die Hersteller VPNs der NAS Hersteller nutzt vermute (!!!) ich das das nicht das Problem war. Normalerweise solltest du dann naemlich nur den Port der fuer die VPN gebraucht wird ins Internet lassen und nicht die 'ganze' NAS.

 

[M-X]

Wenn als nächstes Buffalo oder WD betroffen sind, mit genau der gleichen Lücke, ist das immer noch Mitleid?

Ist denn überhaupt bewiesen das dies die gleiche Lücke bei allen Herstellern ist ? Wenn ich jedes mal das System von Netz nehmen weil ein anderer Hersteller eine Lücke hat ist es für immer offline.

Selbst eine IDP Firewall hätte das nicht unbedingt aufgedeckt. Was außer Updates installieren und logs checken soll man denn deiner Meinung nach machen ? Den Sourcecode des NAS decoompilen und selber suchen ?

log4j ist dir ein Begriff ? Nach deiner logik wäre ja die ganze Welt und fast jeder Hersteller dumm weil sie diese Lücke nicht gefunden haben... oder Heartbleed ?

 

[P4ge]

Wenn ich jedes mal das System von Netz nehmen weil ein anderer Hersteller eine Lücke hat ist es für immer offline.

Für mich hört es sich immer nach der gleichen Lücke an. ABER ich habe schon nach dem ersten Mal überlegt, ob mein NAS offen im Netz ist und ob es wirklich sein MUSS. Somit komme ich wieder auf das Schlussargument, "ist mir das Risiko bewusst und kann ich es eingehen".

Was außer Updates installieren und logs checken soll man denn deiner Meinung nach machen ? Den Sourcecode des NAS decoompilen und selber suchen ?

Nach Qnap hätte man sich schon einmal überlegen können, hängt mein Asustor, Terra etc. pp. frei im Netz? Habe ich das Passwort überhaupt schon einmal angepasst? Habe ich mich generell schon mal mit Updates gefasst? Zu sagen, "QNAP das bin ich nicht, dass interessiert mich nicht" ist dann schon ziemlich mähh. Zumindest sich informieren.

log4j ist dir ein Begriff ? Nach deiner logik wäre ja die ganze Welt und fast jeder Hersteller dumm weil sie diese Lücke nicht gefunden haben... oder Heartbleed ?

log4j hat mich persönlich getroffen, ich musst am Server Updates aufspielen und konnte ihn 2 Tage nicht nutzen. Ich habe nicht gesagt dumm. Ich habe gesagt:

Der Hersteller hat einfach zu wenig und zulangsam getan (siehe QNAP Zeitpunkt)

bedeutet QNAP war der erste (27.01) und nach einem Monat ist erst Terra Master soweit? Was haben die in einem Monat gemacht? Gedacht die Lücke geht an ihnen vorbei? Dann spielt man aber erst recht mit den Daten seiner Kunden.

 

[AGB-Leser]

Dann ist Western Digital wohl der nächste…
Scheiße, keine Lust, die neueste Firmware da zu installieren. Ist zwar schon länger her, aber irgendwas haben die da "herausverbessert", weshalb ich das nicht gemacht habe

 

[Gamefaq]

Auch wenn du die Hersteller VPNs der NAS Hersteller nutzt vermute (!!!) ich das das nicht das Problem war. Normalerweise solltest du dann naemlich nur den Port der fuer die VPN gebraucht wird ins Internet lassen und nicht die 'ganze' NAS.

Ich nutze VPN aktuell nicht und mein NAS hat daher auch die App nicht installiert. Aber der ganze NAS wie du es nennst ist auch nicht im Netz bei mir denn du bestimmst ja welche Ports für welche Anwendung aka App auf dem NAS freigegeben werden.

Gibst du als Nutzer die Ports in deinem Router (Portweiterleitung zu einem expliziten Gerät) für die Webadministration (egal ob HTTP oder HTTPS) selber nicht frei ist diese auch Online nicht erreichbar, selbst wenn über die jeweilige APP im NAS dieser Dienst aktiviert sein sollte da ja der Router es nicht erlauben würde. Das gleiche gilt ja auch für alle anderen Zugriffsarten (FTP, Telnet/SSH , Radius , TFTP , NTP , SNMP usw.) mit ihren dazugehörigen Ports. Was nicht aktiv ist und die dazugehörigen Ports im Router freigegeben, ist auch nicht von außen erreichbar.
Daher wäre es von Interesse zu erfahren was für eine Lücke zu welcher Funktion die wohl alle Hersteller verwenden da sonnst nicht die NAS Hersteller einer nach dem anderen betroffen wären da genau ausgenutzt wird sofern diese per Update nicht geschlossen ist.