Peligroso ransomware está atacando dispositivos NAS de QNAP y Synology

Una variante del ransomware eCh0raix recientemente descubierta ha agregado soporte para cifrar dispositivos de Network-Attached Storage (NAS) QNAP y Synology.

Esta cepa de ransomware (también conocida como QNAPCrypt) apareció por primera vez en junio de 2016. En aquel momento, algunas de las víctimas comenzaron a informar sobre ataques de este ransomware en un foro.

El ransomware afectó a los dispositivos NAS de QNAP en múltiples ataques, y se reportaron 2 ataques a gran escala en junio de 2019 y en junio de 2020. 

eCh0raix también cifró dispositivos fabricados por Synology en 2019. Los investigadores de Anomali descubrieron que los atacantes descifraron credenciales de administrador por fuerza bruta utilizando credenciales predeterminadas o ataques de diccionario.

En ese momento, el fabricante de NAS advirtió a sus clientes que protegieran sus datos de una campaña de ransomware en curso y a gran escala. Sin embargo, no mencionó la operación de ransomware responsable de los ataques.

Objetivos establecidos para los clientes de Synology y QNAP

Este ransomware se ha dirigido a dispositivos QNAP y Synology en el pasado en campañas separadas. Sin embargo, los investigadores de seguridad de la Unidad 42 de Palo Alto Networks dijeron en un informe publicado hoy que eCh0raix cambió su táctica. El ransomware comenzó a agrupar la funcionalidad para cifrar ambas familias de NAS a partir de septiembre de 2020.

“Antes de eso, los atacantes probablemente tenían bases de código separadas para campañas dirigidas a dispositivos de cada uno de los proveedores”, dijo la Unidad 42.

Como revelaron, además, los operadores de ransomware están explotando CVE-2021-28799 (una vulnerabilidad que proporciona a los atacantes acceso a credenciales codificadas, también conocida como una cuenta de puerta trasera). Están utilizando esta vulnerabilidad para cifrar los dispositivos de QNAP. No obstante, no es la primera vez que los ciberdelincuentes usan esta vulnerabilidad. Esta misma vulnerabilidad fue utilizada en una campaña a gran escala de Qlocker en abril.

Uso de fuerza bruta

Los atacantes se abren paso por la fuerza para enviar los payloads de ransomware en los dispositivos NAS de Synology al intentar adivinar las credenciales administrativas de uso común. Esta es la misma táctica utilizada en la campaña de Synology en 2019 mencionada anteriormente.

Aunque no lo relacionó directamente al ransomware eCh0raix, Synology emitió un aviso de seguridad la semana pasada. La empresa advirtió a los clientes que la botnet StealthWorker está apuntando activamente a sus datos en ataques continuos de fuerza bruta que podrían conducir a infecciones de ransomware.

QNAP también notificó a los clientes sobre los ataques de ransomware eCh0raix en mayo. La notificación ocurrió solo dos semanas después de advertirles de una campaña en curso del ransomware AgeLocker.

Los dispositivos QNAP también se vieron afectados por una campaña masiva del ransomware Qlocker que comenzó a mediados de abril. Los actores de amenazas ganaron $260,000 en solo cinco días al bloquear los datos de las víctimas utilizando el archivador de archivos de código abierto 7zip.

Al menos 250,000 dispositivos NAS expuestos a ataques

Según los datos recopilados a través de la plataforma Cortex Xpanse de Palo Alto Networks, hay al menos 250,000 dispositivos NAS de Synology y QNAP expuestos a Internet.

Los investigadores de la Unidad 42 están aconsejando a los propietarios de NAS de Synology y QNAP que sigan la siguiente breve lista de mejores prácticas. Deben seguirla para bloquear los ataques de ransomware dirigidos a sus datos:

• Actualizar el firmware del dispositivo para mantener a raya los ataques de esta naturaleza. Los detalles sobre la actualización de los dispositivos NAS de QNAP contra CVE-2021-28799 se pueden encontrar en el sitio web de QNAP.
• Crear contraseñas de inicio de sesión complejas para hacer que la fuerza bruta sea más difícil para los atacantes.
• Limitar las conexiones a dispositivos conectados a SOHO desde solo una lista codificada de IP reconocidas. Esto para evitar ataques de red utilizados para entregar ransomware a los dispositivos.

Estamos publicando nuestros hallazgos sobre esta nueva variante de eCh0raix para crear conciencia sobre las amenazas en curso para SOHO y los sectores de pequeñas empresas, agregó la Unidad 42.

“Los usuarios de SOHO son atractivos para los operadores de ransomware que buscan atacar objetivos más grandes. Esto porque los atacantes pueden potencialmente usar los dispositivos SOHO NAS como un trampolín en los ataques a la cadena de suministro en grandes empresas que pueden generar enormes rescates”.