Derzeit attackiert eine Linux-Ransomware Nextcloud-Server. Sie verschlüsselt Dateien und fordert für die Entschlüsselung Lösegeld. Das Einfallstor könnte eine NGINX/PHP-FPM-Lücke sein. Der Erpressungstrojaner läuft nur unter Linux und ist als NextCry bekannt.
Was ist eine Ransomware?
Diese Malware hat einen einzigen Zweck: Lösegeld erpressen (englisch ransom = „Lösegeld“). Das geschieht durch Verschlüsselung wichtiger Daten auf dem infizierten Rechner – daher auch die Bezeichnungen Verschlüsselungs- oder Erpressungstrojaner, Kryptotrojaner oder Erpressungssoftware.
Wie geht NextCry vor?
Das Programm verschlüsselt Dateien im Cloudspeicher mit 265-Bit-Schlüssellänge und der Blockchiffre AES, danach erzeugt es eine Lösegeldforderung. Bleeping Computer (IT-News-Webseite) schildert das Vorgehen detaillierter. Die Forderung lag Mitte Dezember 2019 bei 0,025 Bitcoin – am 9. Januar 2020 umgerechnet knapp 180 Euro.
Vor der Verschlüsselung löscht der Trojaner mehrere Ordner, die eine Datenwiederherstellung ermöglicht hätten. Die Chancen auf Entschlüsselung ohne Lösegeldzahlung sinken dadurch drastisch; einige Experten halten den Versuch für gänzlich aussichtslos. Sie raten deshalb dringend zu permanenten Back-ups (siehe weiter unten).
Die genaue Verbreitung des Schädlings ist nicht bekannt. Möglicherweise waren deutsche Nutzer noch nicht betroffen. Threads zu dieser Erpressungs-Malware findest du unter anderem im Security-Forum von Bleeping Computers und im Supportbereich von Nextcloud.
Analyse des Schädlings
Die Online-Analyseplattform VirusTotal hat ein einzelnes NextCry-Sample untersucht. Ergebnis (Stand Januar 2020): Nur 18 der 58 wichtigen Antiviren-Engines erkannten den Trojaner – bzw. dieses spezifische Sample. Mehrere Nutzer des Bleeping-Computer-Forums haben sich den NextCry-Code angesehen. Es handelt sich um ein Python-Skript, das zu einer ELF-Datei kompiliert wurde. Der Verschlüsselungsmechanismus ist sicher und intakt. Eine Entschlüsselung ohne Lösegeldzahlung erscheint schlichtweg ausgeschlossen.
Als Angriffsvektor wird möglicherweise CVE-2019-11043 genutzt. Bleeping Computer verweist darauf, dass der erste betroffene Nutzer angab, Nextcloud mit NGINX als Reverse-Proxy zu betreiben. Schon einen Monat zuvor hatte Nextcloud einen Sicherheitshinweis zu einer inzwischen gefixten Lücke im FastCGI-Prozessmanager PHP-FPM veröffentlicht, der für NGINX gebräuchlich ist (CVE-2019-11043). Die Lücke erlaubt entfernten Angreifern unter sehr eng definierten Voraussetzungen die Codeausführung auf verwundbaren Webservern. Der Exploit-Code ist öffentlich zugänglich.
Gibt es Sicherheitsmaßnahmen gegen die Ransomware?
Ja. Nextcloud-Admins können ihre Systeme gegen das Einfallstor CVE-2019-11043 absichern: die NGINX-Konfigurationsdatei anpassen und die PHP-Packages updaten – so beschrieb es der genannte Sicherheitshinweis.
Stand Januar 2020 ist aber noch unklar, ob dieses Update vollständig schützt oder ob weitere, bisher ungefixte Schwachstellen in Nextcloud existieren. Alle Experten betonen deshalb die Notwendigkeit regelmässiger Back-ups in einem engen Zeitfenster.
Dass CVE-2019-11043 ein Einfallstor ist, hat Nextcloud im jüngsten Statement bestätigt. Die Supporter wiesen gleichzeitig darauf hin, dass NGINX nur von wenigen Nextcloud-Nutzern verwendet wird und diese die verwundbaren Packages wahrscheinlich bereits aktualisiert hätten. Bislang bekannt sind nur zwei ausführliche Angriffsschilderungen. Nextcloud hat die Admins über verschiedene Kanäle auf die bestehende Gefahr hingewiesen.
Generelle Gefahren durch Ransomware, Schutzmöglichkeiten
NextCry ist nicht der einzige kursierende Erpressungstrojaner. Die Gefahren durch diese Art Malware lassen sich kaum überschätzen. Manche Varianten verschlüsseln gezielt die wichtigsten Dateien auf dem Rechner – bei Windows-Systemen meist unter «Eigene Dateien». E-Mail-Inhalte, Datenbanken, Fotos, Archive: ohne Entschlüsselungspasswort in den meisten Fällen dauerhaft verloren.
Das Lösegeld soll auf verschlüsselten Wegen, oft in Bitcoin, gezahlt werden. Bei Polizeikontakt drohen die Kriminellen mit kompletter Datenvernichtung. Selbst wer zahlt und tatsächlich ein Passwort erhält, sollte die freigegebenen Daten sichern – und den Rechner danach nicht weiter anfassen. Die Schadsoftware kann im Hintergrund weiter aktiv sein und Daten abgreifen. Onlinebanking auf diesem Rechner ist tabu, erst recht zur Lösegeldzahlung. Manche Angreifer geben die Daten trotz Zahlung nie frei.
Experten empfehlen deshalb:
- Daten regelmässig auf externen Medien sichern – diese ausser während des Back-ups stets vom Rechner getrennt halten.
- Betriebssysteme immer aktuell halten. Alle angebotenen Updates zügig installieren.
- E-Mail-Anhänge – besonders von unbekannten Absendern – mit grösster Vorsicht behandeln.
- Virenschutz und Firewall sind Pflicht.
Für Back-ups gilt die 3-2-1-Regel: drei Kopien auf zwei Datenträgern, einer davon ausser Haus. Nach jedem Back-up prüfen, ob es funktioniert hat. Alle Fachleute bestehen auf Back-ups; viele lehnen Lösegeldzahlungen prinzipiell ab – das kann sich aber nur leisten, wer seine Daten wirklich konsequent gesichert hat.
