Qnap warnt, dass der Hersteller Fälle von Ransomware-Befall seiner NAS-Geräte untersuche. Diese seien mit der Ransomware Checkmate infiziert. Die Angreifer verschlüsselten nach einem Einbruch die Daten auf den Netzwerkspeichern.

Das Unternehmen erläutert, dass vorläufige Ergebnisse darauf hindeuteten, dass Checkmate SMB-Dienste attackiere, die im Internet zugreifbar seien. Die Angreifer versuchten, mit Wörterbuchattacken in die Konten einzubrechen. Nach erfolgreicher Anmeldung an ein Gerät verschlüsselten sie die Daten in freigegebenen Ordnern und hinterließen eine Datei mit Lösegeldforderung namens !CHECKMATE_DECRYPTION_README in jedem Verzeichnis.

Schutzmaßnahmen ergreifen

In einer Sicherheitsmeldung gibt Qnap Hinweise und Tipps, wie NAS-Geräte, die SMB-Dienste anbieten, besser abzusichern sind. Der erste Tipp lautet, SMB-Dienste nicht ins Internet zu stellen. Wo jedoch externe Zugriffe nötig sind, sollten Administratoren auf VPN setzen, um die NAS-Dienste nicht direkt im Internet zugänglich zu machen.

Schließlich sollen Admins die Unterstützung für SMBv1 deaktivieren und das Qnap-Betriebssystem auf den letzten verfügbaren Stand aktualisieren. Insbesondere auf Geräten, die Dienste im Internet anbieten, sollen Betreiber alle NAS-Zugänge auf ausreichend starke Passwörter überprüfen. Die Liste der Empfehlungen schließt damit, dass ein regelmäßiges Backup der Daten und Snapshots anzuraten sei.

Diese Handlungstipps passen allgemein auch für den Einsatz von NAS-Systemen anderer Hersteller. Qnap-NAS waren zuletzt vor rund drei Wochen im Visier von Cybergangs. Da warnte der Hersteller vor einer Angriffswelle mit DeadBolt-Ransomware.

(dmk)