Un nuevo problema pone en riesgo a los usuarios que utilizan NAS de QNAP o de Synology. Se trata una variante del ransomware eCh0raix, que ha sido descubierta recientemente. Este tipo de malware ya ha puesto en riesgo en otras ocasiones estos servidores en diferentes oleadas. Ahora estamos ante una variante que vuelve a poner en riesgo los dispositivos al cifrar los archivos de las víctimas.
QNAP y Synology son dos de las marcas más populares en dispositivos NAS. Normalmente los piratas informáticos suelen atacar los sistemas y equipos que son más utilizados y tener así una mayor probabilidad de éxito. Esto es lo que han conseguido con la nueva variante de eCh0raix, que es capaz de cifrar los archivos de servidores NAS de estas marcas.
En un principio, el ransomware eCh0raix atacaba dispositivos NAS de QNAP. También se conocía a esta amenaza como QNAPCrypt. No es algo nuevo, ya que apareció por primera vez en el año 2016 y ha habido diferentes oleadas durante los años siguientes. Años después también logró atacar equipos de Synology.
Sin embargo ahora estamos ante una variante de este malware que es capaz de atacar a ambas marcas. Hasta ahora lo había hecho de forma separada, pero un grupo de investigadores de seguridad de Palo Alto Networks ha lanzado un informe donde muestran cómo es capaz de poner en riesgo a QNAP y Synology al mismo tiempo.
Esta nueva funcionalidad para poder atacar a ambas marcas apareció hace unos meses. Hasta ese momento, según indican desde Palo Alto Networks, tenían bases de código separadas para campañas individuales, mientras que ahora está agrupado.
Para lograr atacar los equipos de las víctimas, los atacantes explotan una vulnerabilidad conocida y registrada como CVE-2021-28799. Esto permite a los piratas informáticos acceder a credenciales codificadas o puerta trasera. De esta forma tienen el poder de cifrar archivos en los servidores NAS de QNAP.
En el caso de Synology, indican que utilizan la fuerza bruta para lograr entregar la carga útil del ransomware al adivinar las credenciales administrativas que generalmente utilizan los usuarios y que no han cambiado.
Tanto Synology como QNAP han lanzado avisos recientemente a sus usuarios para que protejan correctamente los datos y eviten ataques tanto de este ransomware como de otras amenazas similares que igualmente pueden poner en riesgo la información almacenada.
Según los datos que manejan desde Palo Alto Networks, son más de 250.000 dispositivos de QNAP y Synology que están hoy en día expuestos en la red. Pueden ser atacados por los ciberdelincuentes para entregar ransomware como eCh0raix.
Entonces, ¿qué podemos hacer para proteger los dispositivos NAS y evitar problemas de este tipo? Algo fundamental es tenerlos siempre actualizados. Es vital contar con las últimas versiones. Esto ayudará a evitar vulnerabilidades que puedan ser explotadas.
Pero además, también conviene cambiar la contraseña de acceso a los dispositivos y evitar utilizar la que viene de fábrica. Esto reducirá en gran medida el riesgo de sufrir ataques de fuerza bruta que pueden usar para llegar a cifrar archivos.