• LOGIN
  • No hay productos en el carrito.

eCh0raix: Acciones preventivas y correctivas a infecciones

¿Qué está pasando?

Un nuevo ransomware está dirigido a dispositivos de almacenamiento conectado a la red (NAS).

Se ha encontrado una nueva familia de ransomware dirigida a dispositivos de almacenamiento conectado a la red (NAS) basados ​​en Linux fabricados por los sistemas QNAP basados ​​en Taiwán y que mantienen a los usuarios como rehenes de datos importantes hasta que se paga un rescate, dijeron los investigadores a The Hacker News.

Ideal para el hogar y las pequeñas empresas, los dispositivos NAS son unidades de almacenamiento de archivos dedicadas conectadas a una red o a través de Internet, que permiten a los usuarios almacenar y compartir sus datos y copias de seguridad con varias computadoras.

Descubierto por investigadores de dos firmas de seguridad independientes, Intezer y Anomali, la nueva familia de #ransomware se enfoca en los servidores NAS de QNAP mal protegidos o vulnerables ya sea por fuerza bruta forzando credenciales SSH débiles o explotando vulnerabilidades conocidas.

Apodado «QNAPCrypt» por Intezer y «eCh0raix» por Anomali, el nuevo ransomware está escrito en el lenguaje de programación Go y encripta los archivos con extensiones dirigidas utilizando el cifrado AES y agrega la extensión .encrypt a cada uno.

Sin embargo, si un dispositivo NAS comprometido se encuentra en Bielorrusia, Ucrania o Rusia, el ransomware finaliza el proceso de cifrado de archivos y finaliza sin dañar los archivos.

Además, más adelante en este artículo, también explicamos cómo los investigadores aprovecharon una debilidad lógica en la infraestructura de ransomware que les permitió evitar que este malware infecte a nuevas víctimas temporalmente.

Tras la ejecución, el ransomware de cifrado de archivos primero se conecta a su servidor remoto de comando y control, protegido detrás de la red Tor, utilizando un proxy Tor SOCKS5 para notificar a los atacantes sobre nuevas víctimas.

«Según el análisis, está claro que el autor del malware ha configurado el proxy para proporcionar a la red Tor el acceso al malware sin incluir la funcionalidad de Tor», dicen los investigadores de Anomali.

Antes de cifrar archivos, el ransomware solicita una dirección única de billetera de bitcoin, donde las víctimas deben transferir la cantidad del rescate, desde el servidor de C&C del atacante que contiene una lista predefinida de direcciones de bitcoin ya creadas.

 

¿Qué hacer?

QNAP recomienda a todos los usuarios de NAS que realicen las siguientes acciones:

  • Actualiza QTS a la última versión.
  • Instale y actualice Malware Remover a la última versión.
  • Utilice una contraseña de administrador más fuerte.
  • Habilite la Protección de acceso a la red para proteger las cuentas de los ataques de fuerza bruta.
  • Deshabilite los servicios SSH y Telnet si no están en uso.
  • Evite utilizar los números de puerto predeterminados 443 y 8080.

Estas acciones pueden mejorar aún más la seguridad del NAS y dificultar la entrada de eCh0raix al QNAP NAS. Para obtener instrucciones detalladas, consulte el aviso de seguridad (https://www.qnap.com/en/security-advisory/nas-201907-11).

El equipo de respuesta de seguridad de QNAP ahora está trabajando en una solución para eliminar eCh0raix de los dispositivos infectados. QNAP también desea reconocer y agradecer a Anomali e Intezer por sus contribuciones a la investigación. Para más preguntas sobre este problema, comuníquese con el servicio de asistencia de QNAP (https://helpdesk.qnap.com/).

 

#QNAPCrypt #Ransomware #Anomali #eCh0raix

Instituto de Ciberseguridad. Todos los derechos reservados.
X