Los ciberdelincuentes están volviendo a atacar a los servidores NAS del fabricante QNAP con el popular ransomware eCh0raix, también conocido como QNAPCrypt. Los usuarios están reportando ataques a sus equipos, el objeitvo de este malware es tomar el control de los servidores NAS con privilegios de administrador y cifrar todos los datos contenidos en el servidor NAS, por lo que deberíamos pagar un rescate para volver a tener los archivos y carpetas de nuestro servidor accesibles. ¿Quieres conocer todo sobre este ransomware que vuelve a afectar a QNAP?
¿Qué hace este QNAPCrypt en mi NAS?
Los usuarios en diferentes foros están reportando incidentes graves de seguridad en sus servidores NAS desde hace aproximadamente una semana, a algunos usuarios les atacaron el día 20 de diciembre y a otros usuarios ayer mismo. Este ransomware tiene como ojetivo tomar el control total del servidor NAS para cifrar todos los archivos y carpetas contenidos en el equipo, además, también se encarga de borrar las instantáneas que nos servirían para protegernos frente a este tipo de ataques. Este malware al tomar el control como administrador, se salta todas las protecciones contra ransomwares que podemos tomar en el servidor NAS, por lo tanto, debemos asegurarnos de no ser infectados por él.
El vector de infección inicial no se conoce por el momento, no se sabe qué vulnerabilidad están aprovechando para entrar en el servidor y cifrar todos los datos. Algunos usuarios han indicado que no han tomado todas las medidas de seguridad habituales recomendadadas, como no exponer a Internet el panel de administración de QNAP, otros afirman que el fallo de seguridad está en la aplicación Photo Station de QNAP, lo que permitió a los atacantes una escalada de privilegios.
Este ransomware eCh0raix crea un usuario en el grupo de administradores, para posteriormente comenzar a cifrar todos los datos contenidos en él, incluyendo imágenes y documentos, por lo que si no se paga el rescate podríamos perderlo todo, a no ser que realicemos una copia de seguridad. Otro detalle muy importante de este ransomware, es que la nota en texto plano que deja en el servidor NAS tiene mal puesta la extensión, en lugar de ser TXT es TXTT.
Este ransomware pide bitcoins para recibir la contraseña de descifrado, dependiendo del NAS infectado, tendremos que pagar entre 0,024 bitcoins (1.200 dólares) y 0,06 bitcoins (unos 3000 dólares), por lo que nos va a salir realmente caro recuperar nuestros datos. Debemos recordar que con el último ransomware que afectaba a QNAP, se pedían unos 300-400 euros por recuperar los datos, ahora esta cifra se ha triplicado.
¿Se pueden descifrar los archivos?
Actualmente no se pueden descifrar los archivos, con la versión anterior del ransomware eCh0raix sí se podían descifrar, este ransomware afectó a QNAP en el verano de 2019. Las últimas variantes son las versiones 1.0.5 y 1.0.6 y actualmente no tiene solución. Este malware ha sido una amenaza desde verano de 2019 de manera intermitente, por lo que debemos proteger adecuadamente nuestros servidores NAS de QNAP para evitar este ransomware tan peligroso.
El fabricante QNAP monitoriza continuamente todas las amenazas y en ocasiones, brinda soluciones a sus usuarios, como herramientas para descifrar los archivos de los NAS, pero este tipo de soluciones suelen llevar bastante tiempo en desarrollarlas, del orden de varias semanas, por lo que si nos infectamos, estaremos como mínimo este tiempo sin nuestros ardhivos.
En RedesZone hemos publicado un completo tutorial sobre cómo proteger los NAS QNAP correctamente, para mitigar cualquier posible ataque de ransomware.
Fuente obtenida de: https://www.redeszone.net/noticias/seguridad/peligroso-ransomware-ataca-nas-qnap/