Derzeit soll es ein Linux-spezifischer Verschlüsselungstrojaner auf Nextcloud-Server abgesehen haben. , "NextCry" verschlüsselt Dateien im Cloudspeicher mit der Blockchiffre AES (Schlüssellänge 265 Bit) und erzeugt anschließend eine Lösegeldforderung, berichtet die IT-News-Webseite Bleeping Computer. Die Forderung liegt bei 0,025 Bitcoin, was umgerechnet derzeit knapp 191 Euro entspricht. Im Vorfeld der Verschlüsselung soll NextCry zudem mehrere Ordner löschen, die dem Opfer die Wiederherstellung der Daten ohne Lösegeldzahlung ermöglichen könnten.
Schlechte Erkennung und wenig Hoffnung auf Entschlüsselung
Wie verbreitet der Schädling tatsächlich ist, ist nicht bekannt; ebenso wenig gibt es Informationen darüber, ob auch Nutzer in Deutschland betroffen sind. Threads zu NextCry finden sich sowohl in Bleeping Computers Security-Forum als auch in Nextclouds Supportbereich.
Eine Analyse eines NextCry-Samples auf der Online-Analyseplattform VirusTotal (MD5 8c6ed96e6df3d8a9cda39aae7e87330c / SHA-1 fea280e7f3c06fdeb322b6548bb16a45c4298261) zeigt, dass derzeit nur 18 von 58 Antiviren-Engines den Schädling (oder zumindest dieses spezifische Sample) erkennen.
Mehrere Nutzer aus dem Bleeping-Computer-Forum haben den NextCry-Code – ein zu einer ELF-Datei kompiliertes Python-Skript – näher unter die Lupe genommen. Ihr Fazit: Der Verschlüsselungsmechanismus der Malware sei intakt und "sicher" und eine Entschlüsselung ohne Lösegeldzahlung somit nicht möglich.
CVE-2019-11043 als Angriffsvektor?
Bleeping Computer weist darauf hin, dass der erste Nutzer, der am 9. November im Forum der News-Website von der Infektion berichtete, angab, Nextcloud mit NGINX als Reverse-Proxy zu nutzen.
In diesem Zusammenhang ist ein bereits Ende Oktober von Nextcloud veröffentlichter Sicherheitshinweis interessant. Er betrifft eine mittlerweile gefixte Sicherheitslücke im (für NGINX gebräuchlichen) FastCGI-Prozessmanager PHP-FPM (CVE-2019-11043), die entfernten Angreifern unter eng gesteckten Voraussetzungen die Codeausführung auf verwundbaren Webservern ermöglichte. Exploit-Code ist öffentlich verfügbar.
Nextcloud-Amins können ihre Systeme gegen CVE-2019-11043 absichern, indem sie (wie im Hinweis beschrieben) die PHP-Packages und die NGINX-Konfigurationsdatei updaten. Ob das Update auch vor NextCry schützt oder ob dem Schädling nicht doch eine (möglicherweise noch ungefixte) Schwachstelle in NextCloud als Angriffsvektor dient, ist aber unklar.
Der wirkungsvollste Schutz der eigenen Daten dürfte – wie bei jeder anderen Ransomware auch – in einem regelmäßigen separaten Backup bestehen.
Quelle: Ransomware "NextCry" greift Nextcloud-Server an | heise online