Derzeit attackiert eine Linux-Ransomware Nextcloud-Server. Sie verschlüsselt Dateien und fordert für die Entschlüsselung Lösegeld. Das Einfallstor könnte unter Umständen eine NGINX/PHP-FPM-Lücke sein. Der Erpressungstrojaner funktioniert wohl nur Linux-spezifisch und ist als NextCry bekannt.
Was ist eine Ransomware?
Diese Malware hat den einzigen Zweck, Lösegeld zu erpressen (englisch ransom = „Lösegeld“). Das geschieht durch die Verschlüsselung von wichtigen Daten auf dem infizierten Rechner, weshalb gängige Bezeichnungen auch Verschlüsselungs- oder Erpressungstrojaner, Kryptotrojaner oder Erpressungssoftware sind.
Wie geht NextCry vor?
Das Programm verschlüsselt im Cloudspeicher Dateien mit der Schlüssellänge 265 Bit und der Blockchiffre AES. Danach erzeugt es eine Lösegeldforderung. Das Vorgehen wird detaillierter auf Bleeping Computer geschildert (einer IT-News-Webseite). Die Forderung lag nach dem letzten Stand von Mitte Dezember 2019 bei 0,025 Bitcoin, am 9. Januar 2020 wären das umgerechnet knapp 180 Euro. Vor der Verschlüsselung löscht der Erpressungstrojaner wohl mehrere Ordner, die das Wiederherstellen der Daten ermöglicht hätten. Dadurch sinken die Chancen auf Entschlüsselung ohne Lösegeldzahlung drastisch, einige Experten halten den Versuch für gänzlich aussichtslos. Sie raten wegen solcher Vorfälle dringend zu permanenten Back-ups (siehe weiter unten). Die genaue Verbreitung des Schädling ist übrigens nicht bekannt. Möglicherweise waren deutsche Nutzer noch nicht betroffen. Es gibt Threads zu dieser Erpressungs-Malware unter anderem im Security-Forum von Bleeping Computers und im Supportbereich von Nextcloud.
Analyse des Schädlings
Die Online-Analyseplattform VirusTotal hat eine Analyse eines einzelnen NextCry-Samples vorgenommen. Damit konnten die Experten belegen, dass aktuell (Januar 2020) nur 18 der 58 wichtigen Antiviren-Engines den Erpressungstrojaner bzw. dieses eine spezifische Sample erkennen. Mehrere Nutzer des Bleeping-Computer-Forums haben sich den NextCry-Code angesehen. Es handelt sich um ein Python-Skript, das zu einer ELF-Datei kompiliert wurde. Das Fazit lautet: Der Verschlüsselungsmechanismus der Erpressersoftware ist sicher und intakt. Eine Entschlüsselung ohne Lösegeldzahlung erscheint schlichtweg ausgeschlossen. Möglicherweise wird CVE-2019-11043 als Angriffsvektor genutzt. Bleeping Computer verweist darauf, dass der erste betroffene Nutzer in seinem Bericht angab, dass er als Reverse-Proxy Nextcloud mit NGINX nutzt. Schon einen Monat zuvor hatte Nextcloud einen interessanten Sicherheitshinweis veröffentlicht. Dieser betraf eine inzwischen gefixte Sicherheitslücke im FastCGI-Prozessmanager PHP-FPM, der für NGINX gebräuchlich ist (CVE-2019-11043). Man warnte, dass diese Lücke entfernten Angreifern unter ganz bestimmten, sehr eng definierten Voraussetzungen eine Ausführung des Codes auf verwundbaren Webservern ermöglichen könnte. Der Exploit-Code ist öffentlich zugänglich.
Gibt es Sicherheitsmaßnahmen gegen die Ransomware?
Diese gibt es wahrscheinlich. Nextcloud-Admins können die eigenen Systeme gegen das Einfallstor CVE-2019-11043 sichern. Hierfür müssen sie – das beschrieb der genannte Sicherheitshinweis – die NGINX-Konfigurationsdatei und die PHP-Packages updaten. Allerdings ist mit Stand Januar 2020 immer noch unklar, ob so ein Update vollständig vor dem Erpressertrojaner schützt oder ob es noch andere, derzeit bislang ungefixte Schwachstellen in NextCloud gibt. Daher weisen alle Experten auf die Notwendigkeit regelmäßiger Back-ups in einem engen Zeitfenster hin. Dass CVE-2019-11043 ein Einfallstor für den Schädling ist, hat Nextcloud im jüngsten Statement bestätigt. Gleichzeitig verwiesen die Supporter darauf, dass NGINX nur von wenigen Nextcloud-Nutzern verwendet wird, die zudem wahrscheinlich die verwundbaren Packages schon aktualisiert hätten. Bekannt sind bislang nur zwei ausführliche Angriffsschilderungen. Nextcloud hat die Admins auf die bestehende Gefahr über verschiedene Kanäle hingewiesen.
Generelle Gefahren durch Ransomware, Schutzmöglichkeiten
NextCry ist nicht der einzige kursierende Erpressungstrojaner. Die Gefahren durch diese Art Malware können nicht hoch genug eingeschätzt werden. Manche sehr bösartigen Varianten verschlüsseln die wahrscheinlich wichtigsten Dateien auf dem Rechner, die bei Windows-Systemen fast immer unter Eigene Dateien zu finden sind. Es können E-Mail-Inhalte, Datenbanken, Fotos und Archive sein, die ohne Entschlüsselungspasswort in den meisten Fällen wirklich nie wieder zugänglich sind. Das Lösegeld soll auf verschlüsselten Wegen und oft in Bitcoin gezahlt werden. Bei einem festgestellten Kontakt mit der Polizei drohen die Kriminellen mit der kompletten Datenvernichtung. Selbst wenn Betroffene das Lösegeld zahlen und daraufhin tatsächlich ein Passwort zur Freigabe ihrer Dateien erhalten, sollten sie diese Daten bestenfalls sichern und ansonsten den betroffenen Rechner nicht weiter anfassen. Die Schadsoftware kann immer noch im Hintergrund existieren und Daten abgreifen. Aus diesem Rechner heraus darf zum Beispiel unter keinen Umständen Onlinebanking betrieben werden, schon gar nicht zum Zweck der Lösegeldzahlung – das wäre grobe Fahrlässigkeit. Es gibt auch Angreifer, die trotz Lösegeld die Daten nicht mehr freigeben. Experten empfehlen aus diesen Gründen:
- Daten müssen regelmäßig auf externen Medien gesichert werden. Diese sollten außer während des Back-ups stets vom Rechner separiert werden.
- Betriebssysteme müssen immer auf dem neuesten Stand sein. Alle angebotenen Updates sind zügig zu installieren.
- Anhänge von E-Mails sind vor allem bei unbekannten Absendern mit größter Vorsicht zu behandeln.
- Virenschutz und Firewall sind Pflicht.
Für ein Back-up gilt die 3-2-1-gerettet-Regel. Es sollte drei Kopien auf zwei Datenträgern angefertigt werden, wovon einer außer Haus gelagert wird. Nach jedem Back-up ist eine Kontrolle nötig, ob es überhaupt funktioniert hat. Alle Fachleute insistieren auf Back-ups, viele von ihnen lehnen Lösegeldzahlungen prinzipiell ab. Das kann sich aber nur ein Nutzer leisten, der seine Daten wirklich immer pünktlich gesichert hat.
