Linux-Ransomware: NextCry verschlüsselt Daten im Cloudspeicher von Nextcloud

21. November, 2019

Neue Ransomware-Kampagne in the Wild hat es auf Nextcloud-Installationen abgesehen

Das erste, was der Trojaner nach dem Ausführen macht, ist im config.php gezielt nach dem Nextcloud Fileshare und Sync Data Directory zu suchen, berichtete Bleeping Computer. Die Dateien werden verschlüsselt und mit der Datei-Erweiterung NEXTCRY versehen, eine Lösegeldforderung benennt 0,025 Bitcoins, ein Wallet und eine E-Mail-Adresse.

Im Gegensatz zu den meisten bekannten Ransomware-Kampagnen, die eine breite Masse an Opfern (und damit Lösegeldern) erreichen wollen, sucht sich NextCry seine Opfer also ganz gezielt unter den Usern einer bestimmten Plattform aus. Einmal im System angekommen, verschlüsselt er die Daten im Data Directory mit einem intakten AES Algorithmus mit 256-bit Key und löscht Dateien, die bei der Wiederherstellung helfen könnten. Einen Decrypter gibt es bislang nicht.

Die bisher bekannt gewordenen Infektionen sind erst einige Tage alt, größere Angriffswellen könnten folgen. Nextcloud-Serveradmins sollten schleunigst die vor einigen Wochen bekannt gewordene Schwachstelle CVE-2019-11043, die bei PHP-Anwendungen im Zusammenspiel mit NGINX auftritt, absichern. Sie scheint das Einfallstor für NextCry zu bilden. Nextcloud hatte bereits vor den ersten Angriffen über diese Sicherheitslücke informiert und damit vielleicht verhindert, dass sich der Trojaner weiter ausbreiten konnte.

„Das Schwierige an dieser Malware ist, dass man als User fast machtlos ist, da das Problem serverseitig bei den Hostern liegt“, so Security-Spezialist Benjamin Paar: „Ich empfehle allen NutzerInnen daher dringend, ein valides, aktuelles Offline-Backup anzulegen – sonst könnte es beim automatischen Synchronisieren mit der Cloud passieren, dass die gesicherten Dateien mit den verschlüsselten überschrieben werden.“

IBM
CIOSUMMIT-WIEN
save remote
Cyber Versicherungen
ransomware
IT-/OT-Konvergenz: von der Theorie in die Praxis
Defense in Depth
private
Qlocker 01

Ransomware Qlocker: So stellen Sie Ihre Daten (großteils) wieder her

Zwei österreichische Sicherheitsexperten analysierten die von den Hackern verwendete Methode und stellten fest, dass sie einen Fehler gemacht hatten.
Fax
malicious-code

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 (0) 1 58995-0
Sales Hotline: +43 (0) 1 58995-500

SUPPORT-HOTLINE:

Support-Hotline:
+43 (0) 1 58995-400

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr

Fernwartung:
AnyDesk Download