27.04.2021 - Das NCSC verzeichnete in der letzten Woche einen sehr hohen Meldeeingang. Grund dafür war vor allem eine Fake-Sextortion-Welle. Ausserdem erhielt das NCSC Hinweise zu E-Mails, welche einen Säureangriff ankündigten. Zunehmend erhält das NCSC auch Meldungen zu verschlüsselten Netzwerkspeichern (NAS) der Firma QNAP.
Aktuelle Statistiken
Anzahl Meldungen pro Woche während der letzten 12 Monate
Anzahl Meldungen der letzten Woche nach Kategorien
Fake-Sextortion – wie man mit leeren Drohungen, Leute zum Zahlen bewegt
Nach einigen ruhigen Tagen betreffend Fake Sextortion wurden Anfang letzter Woche wieder zahlreiche Fälle gemeldet. E-Mails fluteten die Postfächer vor allem von Swisscom-/Bluewin-Kunden. Die darin enthaltenen Drohungen sind dabei stets die gleichen: Jemand behauptet Zugriff auf den Computer des E-Mail-Empfängers zu haben und diesen über Monate auszuspionieren, wie er pornographisches Material konsumieren würde. Durch die Kontrolle über seine Webcam seien kompromittierende Bilder entstanden, die nun veröffentlicht werden, sollte kein entsprechendes Lösegeld bezahlt werden.
Als Beweis, dass das E-Mail-Konto auch wirklich gehackt sei, gaben die Angreifer an, dass die Drohmail von der E-Mail-Adresse des Empfängers ausgesendet werde. Tatsächlich sind Absender- und Empfänger-Adresse in den aktuellen E-Mails identisch. Die Täter nutzen dabei die Unsicherheit der Opfer aus; denn nur die wenigsten wissen, dass die Absender-Adresse eines E-Mails mit einfachsten Mitteln und ohne Fachkenntnisse gefälscht werden kann. So lässt sich bei jedem E-Mail-Programm der Absender beliebig definieren. In diesen Fällen haben die Angreifer keinen Zugang zum Mail-Konto und versuchen mit diesem Bluff, das Opfer zu einer Lösegeldzahlung zu bewegen.
Drohmails zu Säureangriff
In einer anderen Variante von einschüchternden E-Mails drohten die Angreifer mit einem Säureangriff. Ein Freund des Empfängers habe den Auftrag gegeben, diesem Schwefelsäure ins Gesicht zu schütten. Als Beweis wird die Wohnadresse des Empfängers erwähnt. Um diesen Auftrag zu annullieren, könne man 550 Euro an eine Bitcoin-Adresse senden. Die Bitcoin-Adresse ist immer die gleiche und ist schon früher im Zusammenhang mit solchen Drohmails aufgefallen. Im aktuellen Fall handelt es sich um einen Bluff.
Auf den Seiten von Bitcoin-Abuse können Sie überprüfen, ob die Bitcoin Adresse bereits für andere Betrügereien missbraucht wurde:
https://www.bitcoinabuse.com/
Netzwerkspeicher (NAS) der Firma QNAP im Fokus von Ransomware
Das NCSC erhielt letzte Woche zunehmend Meldungen von verschlüsselten Netzwerkspeichern (NAS) der Firma QNAP mit anschliessender Lösegeldforderung. Vermutlich wird in diesen Fällen die Schwachstelle CVE-2020-36195 ausgenützt. QNAP hat für diese Schwachstelle am 16. April 2021 ein Update bereitgestellt. Das NCSC empfiehlt dringend die Apps «Multimedia Console», «Media Streaming Add-on» und «Hybrid Backup Sync» zu aktualisieren und generell die Systeme aller Geräte auf dem neuesten Stand zu halten.
Der Hersteller QNAP hat in der Zwischenzeit auf die Vorfälle reagiert und weist in einem Artikel Nutzerinnen und Nutzer darauf hin, die neueste Malware-Remover Version zu installieren und einen Malware-Scan auf dem QNAP NAS auszuführen.
Falls Benutzerdaten verschlüsselt sind oder verschlüsselt werden, empfiehlt der Hersteller das NAS nicht herunterzufahren, sondern sofort einen Malware-Scan mit der neuesten Malware-Remover Version auszuführen und sich dann an den technischen Support von QNAP zu wenden:
https://service.qnap.com/.
Hintergrund ist, dass eine Möglichkeit besteht, das Passwort aus der Datei «7z.log» wiederherzustellen, sofern das QNAP-Gerät seit der Verschlüsselung nicht neu gestartet wurde.
Generell gilt die Empfehlung, Netzwerkspeicher, nur wenn unbedingt notwendig direkt aus dem Internet verfügbar zu machen. QNAP empfiehlt zudem, den Standard-Netzwerkport 8080 für den Zugriff auf die NAS-Bedienoberfläche zu ändern.
Weitere Informationen finden Sie auf den Seiten von QNAP:
https://www.qnap.com
Letzte Änderung 27.04.2021
