Se ha encontrado una nueva familia de
ransomware dirigida a dispositivos de almacenamiento conectado a la red (NAS).
Estos están basados en Linux fabricados por los sistemas
QNAP y que mantienen a los usuarios como rehenes de datos importantes hasta que
se paga un rescate.
Descubierto de forma independiente por
investigadores de dos firmas de seguridad independientes, Intezer y Anomali, la
nueva familia de ransomware se enfoca en los servidores NAS de QNAP mal
protegidos o vulnerables ya sea por fuerza bruta forzando credenciales SSH
débiles o explotando vulnerabilidades conocidas.
Apodado «QNAPCrypt» por Intezer y
«eCh0raix» por Anomali, el nuevo ransomware está escrito en el lenguaje de
programación Go y encripta los archivos con extensiones dirigidas mediante el
cifrado AES y agrega una extensión encriptada a cada uno. Sin embargo, si un
dispositivo NAS comprometido se encuentra en Bielorrusia, Ucrania o Rusia, el
ransomware termina el proceso de cifrado de archivos y finaliza sin
modificarlos.
En caso de llevarse a cabo el ataque,
tras la ejecución, el ransomware primero se conecta a su servidor remoto de
C&C, protegido detrás de la red Tor, utilizando un proxy Tor SOCKS5 para
notificar a los atacantes sobre nuevas víctimas.
«Según el análisis, está claro que el
autor del malware ha configurado el proxy para proporcionar a la red Tor el
acceso al malware sin incluir la funcionalidad propia de Tor»
Antes de cifrar archivos, el
ransomware solicita una dirección única de billetera de bitcoin, donde las
víctimas deben transferir la cantidad del rescate. Esta dirección la obtiene
desde el servidor de C&C del atacante que contiene una lista predefinida de
monederos ya creados.
Si el servidor se queda sin
direcciones de bitcoin únicas, el ransomware no procede a cifrar archivos y
espera a que los atacantes creen y proporcionen una nueva dirección.
«Pudimos recopilar un total de 1,091
billeteras únicas destinadas a nuevas víctimas distribuidas en 15 campañas
diferentes».
Como recordatorio, instamos a los
usuarios a que habiliten las actualizaciones automáticas para mantener el
firmware actualizado.
Fuente: Hispasec