Neue Ransomware-Kampagne in the Wild hat es auf Nextcloud-Installationen abgesehen

Das erste, was der Trojaner nach dem Ausführen macht, ist im config.php gezielt nach dem Nextcloud Fileshare und Sync Data Directory zu suchen, berichtete Bleeping Computer. Die Dateien werden verschlüsselt und mit der Datei-Erweiterung NEXTCRY versehen, eine Lösegeldforderung benennt 0,025 Bitcoins, ein Wallet und eine E-Mail-Adresse.

Im Gegensatz zu den meisten bekannten Ransomware-Kampagnen, die eine breite Masse an Opfern (und damit Lösegeldern) erreichen wollen, sucht sich NextCry seine Opfer also ganz gezielt unter den Usern einer bestimmten Plattform aus. Einmal im System angekommen, verschlüsselt er die Daten im Data Directory mit einem intakten AES Algorithmus mit 256-bit Key und löscht Dateien, die bei der Wiederherstellung helfen könnten. Einen Decrypter gibt es bislang nicht.

Die bisher bekannt gewordenen Infektionen sind erst einige Tage alt, größere Angriffswellen könnten folgen. Nextcloud-Serveradmins sollten schleunigst die vor einigen Wochen bekannt gewordene Schwachstelle CVE-2019-11043, die bei PHP-Anwendungen im Zusammenspiel mit NGINX auftritt, absichern. Sie scheint das Einfallstor für NextCry zu bilden. Nextcloud hatte bereits vor den ersten Angriffen über diese Sicherheitslücke informiert und damit vielleicht verhindert, dass sich der Trojaner weiter ausbreiten konnte.

„Das Schwierige an dieser Malware ist, dass man als User fast machtlos ist, da das Problem serverseitig bei den Hostern liegt“, so Security-Spezialist Benjamin Paar: „Ich empfehle allen NutzerInnen daher dringend, ein valides, aktuelles Offline-Backup anzulegen – sonst könnte es beim automatischen Synchronisieren mit der Cloud passieren, dass die gesicherten Dateien mit den verschlüsselten überschrieben werden.“