Dispositivos QNAP NAS dirigidos a otra ola de ataques de ransomware


qnap.jpg

Imagen: QNAP

Los operadores del ransomware eCh0raix han lanzado otra ola de ataques contra dispositivos de almacenamiento conectado a la crimson (NAS) QNAP.

La pandilla eCh0raix ha estado activa desde junio de 2019, cuando implementaron por primera vez una primera versión de su ransomware. A pesar de haber descifrado su versión inicial de ransomware, el grupo nunca ha desaparecido, implementando una versión más nueva que los investigadores de seguridad no pudieron descifrar.

La actividad del grupo se ha desacelerado desde el verano pasado, principalmente debido a la competencia de las pandillas de ransomware rivales que apuntan a dispositivos NAS QNAP, como los grupos Muhstik y QSnatch, pero también de los operadores de botnets IoT.

Sin embargo, el grupo ha vuelto a la vida recientemente, y este nuevo aumento en la actividad puede atribuirse a la publicación reciente de informe de seguridad que detalla tres vulnerabilidades críticas que afectan los dispositivos QNAP.

ZDNet cubrió las tres vulnerabilidades como parte de la cobertura de seguridad cibernética de nuestro sitio. Días después de nuestro artículo, este reportero comenzó a recibir solicitudes de soporte de desesperados propietarios de NAS de QNAP en busca de una forma de recuperar archivos que han sido encriptados por un misterioso ransomware, que resultó ser eCh0raix.

Durante más de dos semanas, hemos estado redirigiendo al propietario de QNAP al foro Bleeping Computer, un sitio de soporte técnico para Computer system y uno de los lugares de acceso para víctimas de ransomware que buscan ayuda técnica.

Desde entonces, hemos estado monitoreando el tema eCh0raix del foroy viendo un flujo constante de nuevas víctimas que informan infecciones con ech0raix. Los informes, sin embargo, explotaron esta semana.

Como el rama de noticias del sitio de Bleeping Laptop notado hoy, la pandilla eCh0raix ha aumentado sus operaciones desde el lunes. Además de una nueva afluencia de víctimas que informan datos NAS encriptados en su foro, el sitio también citó estadísticas de ID-Ransomware, un servicio que permite a los usuarios identificar la versión de ransomware que encriptó sus archivos. ID-Ransomware también vio un pico related que se vio en los foros de Bleeping Computer.

id-ransomware-stats.jpg "height =" auto "width =" 1200 "src =" https://zdnet4.cbsistatic.com/hub/i/r/2020/06/05/3983ea66-6a76-40c8-a893 -3bf918a0a9a8 / resize / 1200xauto / 65894d2f4d59ba50f87bd9d57aa83a67 / id-ransomware-stats.jpg

Imagen a través de Bleeping Laptop or computer y ID-Ransomware

Lo que los usuarios de QNAP necesitan saber

Históricamente, la pandilla eCh0raix ha utilizado tanto hazañas como ataques de fuerza bruta. Utilizan exploits para atacar vulnerabilidades en dispositivos QNAP antiguos sin parches, y utilizan ataques de fuerza bruta para adivinar contraseñas de administrador comunes y débiles.

Si bien actualmente no está confirmado, es muy posible que la pandilla eCh0raix haya incorporado las vulnerabilidades de QNAP recientemente reveladas en sus ataques, lo que podría explicar el aumento repentino de la actividad. Las tres vulnerabilidades de QNAP son fáciles de explotar y automatizar, y también proporcionan command complete sobre un dispositivo atacado.

Se recomienda encarecidamente a los propietarios de QNAP NAS que actualicen su firmware QNAP y el software program de cualquier software program, aplicación o complemento QNAP que puedan estar ejecutando en el dispositivo.

Del mismo modo, se recomienda a los propietarios de dispositivos QNAP que cambien la contraseña de su dispositivo a algo único y difícil de adivinar.

Las instrucciones sobre cómo hacer ambas cosas y tomar otras medidas de seguridad se proporcionan en esta página de soporte de QNAP. Ambas medidas evitarían que la pandilla eCh0raix se haga cargo de sus sistemas y encripte sus archivos.

Las versiones actuales del ransomware eCh0raix no se pueden descifrar a menos que las víctimas paguen la demanda de rescate mediante un enlace a un portal internet oscuro que la pandilla de ransomware deja en los sistemas NAS pirateados, dentro de un archivo de texto.

ech0raix-decrypter.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/06/05/128812c6-a453-441a-88e7-93b516edeace/ech0raix-decrypter.png

Imagen: ZDNet

Sin embargo, se desaconseja pagar el rescate, ya que esto solo genera ganancias para los delincuentes y motiva a la pandilla de ransomware a continuar sus ataques, de ahí la razón por la cual la pandilla eCh0raix no se rindió después de descifrar su primera versión. Las ganancias fueron demasiado buenas.

Actualmente, hay alrededor de medio millón de dispositivos QNAP conectados a World wide web. Los dispositivos QNAP, por su naturaleza, están destinados a conectarse en línea, por lo que desconectarlos frustra el propósito de tener uno en primer lugar. Los propietarios deben buscar proteger sus dispositivos y evitar perder datos confidenciales después de un ataque.



Enlace a la noticia authentic