El ransomware se ha convertido en una de las más lucrativas maneras de monetizar ataques informáticos. Entran en equipos, cifran los archivos de los usuarios y exigen un rescate para desbloquearlo. Es por eso que dispositivos como los NAS, especialmente destinados a copias de seguridad o a gran cantidad de archivos que desean conservarse, son un nuevo y atractivo objetivo.
Investigadores expertos en seguridad informática de Anomali han sido los descubridores de una nueva familia de ransomware, apodada eCh0raix, que tiene por objetivo los NAS de QNAP conectados a la red. Según han explicado, la infección cifra las extensiones de los archivos presentes en el dispositivos de almacenamiento usando encriptación AES, añade la extensión .encrypt a los archivos que resultan bloqueados y finalmente muestra una nota de rescate.
Fuerza bruta y vulnerabilidades
De acuerdo con la investigación, eCh0raix surgió el pasado mes de junio. Los atacantes acceden a los NAS de QNAP, una compañía que ha tenido que enfrentar en los últimos años varias vulnerabilidades, mediante puertos no seguros y el uso de la fuerza bruta a la hora de sortear las medidas de seguridad y averiguar las credenciales de acceso más débiles.
El rogueware está escrito y compilado en el lenguaje de programación Go y es muy simple: su código fuente tiene menos de 400 líneas. La nota que se muestra a los afectados es la siguiente (originalmente en inglés y con erratas, lo que hace sospechar a los investigadores que sus creadores no son anglohablantes):
"Todos sus datos han sido bloqueados (encriptados). Cómo desbloquear (descifrar) la instrucción ubicada en este sitio web de TOR: http://sg3dwqfpnr4sl5hh.onion/order/[dirección de Bitcoin] Utilice el navegador TOR para acceder a los sitios web de .onion. https://duckduckgo.com/html?q=tor+browser+how+to
NO elimine este archivo y NO elimine la última línea de este archivo! [Base64 codificó datos encriptados]"
La recomendación principal para los usuarios de los NAS de QNAP en particular, y de este tipo de dispositivos en general, es que los mantengan aislados impidiendo los accesos externos al mismo en la medida de lo posible.
Tampoco hay que olvidar la necesidad de mantenerlos con las actualizaciones al día y con credenciales de inicio de sesión robustas con el objetivo de hacer más complicados los ataques de fuerza bruta. Todas las precauciones, ya lo sabemos, son pocas.
Ver todos los comentarios en https://www.genbeta.com
VER 4 Comentarios