Linux-Ransomware: NextCry verschlüsselt Daten im Cloudspeicher von Nextcloud

21. November, 2019

Neue Ransomware-Kampagne in the Wild hat es auf Nextcloud-Installationen abgesehen

Das erste, was der Trojaner nach dem Ausführen macht, ist im config.php gezielt nach dem Nextcloud Fileshare und Sync Data Directory zu suchen, berichtete Bleeping Computer. Die Dateien werden verschlüsselt und mit der Datei-Erweiterung NEXTCRY versehen, eine Lösegeldforderung benennt 0,025 Bitcoins, ein Wallet und eine E-Mail-Adresse.

Im Gegensatz zu den meisten bekannten Ransomware-Kampagnen, die eine breite Masse an Opfern (und damit Lösegeldern) erreichen wollen, sucht sich NextCry seine Opfer also ganz gezielt unter den Usern einer bestimmten Plattform aus. Einmal im System angekommen, verschlüsselt er die Daten im Data Directory mit einem intakten AES Algorithmus mit 256-bit Key und löscht Dateien, die bei der Wiederherstellung helfen könnten. Einen Decrypter gibt es bislang nicht.

Die bisher bekannt gewordenen Infektionen sind erst einige Tage alt, größere Angriffswellen könnten folgen. Nextcloud-Serveradmins sollten schleunigst die vor einigen Wochen bekannt gewordene Schwachstelle CVE-2019-11043, die bei PHP-Anwendungen im Zusammenspiel mit NGINX auftritt, absichern. Sie scheint das Einfallstor für NextCry zu bilden. Nextcloud hatte bereits vor den ersten Angriffen über diese Sicherheitslücke informiert und damit vielleicht verhindert, dass sich der Trojaner weiter ausbreiten konnte.

„Das Schwierige an dieser Malware ist, dass man als User fast machtlos ist, da das Problem serverseitig bei den Hostern liegt“, so Security-Spezialist Benjamin Paar: „Ich empfehle allen NutzerInnen daher dringend, ein valides, aktuelles Offline-Backup anzulegen – sonst könnte es beim automatischen Synchronisieren mit der Cloud passieren, dass die gesicherten Dateien mit den verschlüsselten überschrieben werden.“

IoT
Jess Bailey / Unsplash
Artturi Jalli / Unsplash.com

Cyber Security Trends 2022

log4j JNDI Attack
Ransomware
VPN
shred

Daten sicher löschen

Christian Fritz - Loipersdorf 2021
top-3-sicherheitsluecken-in-oesterreich-wie-sicher-sind-ihre-server
Digital Days 21
mshtml-zero-day-exploit

MSHTML Zero-Day-Exploit

fireeye-mandiant
Die Ansicht "Alerts" im Nozomi Networks Dashboard zeigt die Warnung "Threat BlackMatter found".
Kamera
IBM
CIOSUMMIT-WIEN

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 (0) 1 58995-0
Sales Hotline: +43 (0) 1 58995-500

SUPPORT-HOTLINE:

Support-Hotline:
+43 (0) 1 58995-400

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr

Fernwartung:
AnyDesk Download