Eine neue Linux-Malware attackiert Nextcloud-Server, um Dateien zu verschlüsseln und ein Lösegeld zu fordern. Der Angriffsweg ist noch unbekannt.

Derzeit soll es ein Linux-spezifischer Verschlüsselungstrojaner auf Nextcloud-Server abgesehen haben. , „NextCry“ verschlüsselt Dateien im Cloudspeicher mit der Blockchiffre AES (Schlüssellänge 265 Bit) und erzeugt anschließend eine Lösegeldforderung. Die Forderung liegt bei 0,025 Bitcoin, was umgerechnet derzeit knapp 191 Euro entspricht. Im Vorfeld der Verschlüsselung soll NextCry zudem mehrere Ordner löschen, die dem Opfer die Wiederherstellung der Daten ohne Lösegeldzahlung ermöglichen könnten.

Eine Analyse eines NextCry-Samples auf der Online-Analyseplattform VirusTotal (MD5 8c6ed96e6df3d8a9cda39aae7e87330c / SHA-1 fea280e7f3c06fdeb322b6548bb16a45c4298261) zeigt, dass derzeit nur 18 von 58 Antiviren-Engines den Schädling (oder zumindest dieses spezifische Sample) erkennen.

Mehrere Nutzer haben den NextCry-Code – ein zu einer ELF-Datei kompiliertes Python-Skript – näher unter die Lupe genommen. Ihr Fazit: Der Verschlüsselungsmechanismus der Malware sei intakt und „sicher“ und eine Entschlüsselung ohne Lösegeldzahlung somit nicht möglich.

Bleeping Computer weist darauf hin, dass der erste Nutzer, der am 9. November im Forum der News-Website von der Infektion berichtete, angab, Nextcloud mit NGINX als Reverse-Proxy zu nutzen.

In diesem Zusammenhang ist ein bereits Ende Oktober von Nextcloud veröffentlichter Sicherheitshinweis interessant. Er betrifft eine mittlerweile gefixte Sicherheitslücke im (für NGINX gebräuchlichen) FastCGI-Prozessmanager PHP-FPM (CVE-2019-11043), die entfernten Angreifern unter eng gesteckten Voraussetzungen die Codeausführung auf verwundbaren Webservern ermöglichte. Der Exploit-Code ist öffentlich verfügbar.

Nextcloud-Amins können ihre Systeme gegen CVE-2019-11043 absichern, indem sie die PHP-Packages und die NGINX-Konfigurationsdatei updaten. Ob das Update auch vor NextCry schützt oder ob dem Schädling nicht doch eine (möglicherweise noch ungefixte) Schwachstelle in NextCloud als Angriffsvektor dient, ist aber unklar.

Der wirkungsvollste Schutz der eigenen Daten dürfte – wie bei jeder anderen Ransomware auch – in einem regelmäßigen separaten Backup bestehen.