Se ha encontrado una nueva familia de ransomware dirigida a dispositivos de almacenamiento conectado a la red (NAS). Estos están basados en Linux fabricados por los sistemas QNAP y que mantienen a los usuarios como rehenes de datos importantes hasta que se paga un rescate.
Descubierto de forma independiente por investigadores de dos firmas de seguridad independientes, Intezer y Anomali, la nueva familia de ransomware se enfoca en los servidores NAS de QNAP mal protegidos o vulnerables ya sea por fuerza bruta forzando credenciales SSH débiles o explotando vulnerabilidades conocidas.
Apodado «QNAPCrypt» por Intezer y «eCh0raix» por Anomali, el nuevo ransomware está escrito en el lenguaje de programación Go y encripta los archivos con extensiones dirigidas mediante el cifrado AES y agrega una extensión encriptada a cada uno. Sin embargo, si un dispositivo NAS comprometido se encuentra en Bielorrusia, Ucrania o Rusia, el ransomware termina el proceso de cifrado de archivos y finaliza sin modificarlos.
En caso de llevarse a cabo el ataque, tras la ejecución, el ransomware primero se conecta a su servidor remoto de C&C, protegido detrás de la red Tor, utilizando un proxy Tor SOCKS5 para notificar a los atacantes sobre nuevas víctimas.
«Según el análisis, está claro que el autor del malware ha configurado el proxy para proporcionar a la red Tor el acceso al malware sin incluir la funcionalidad propia de Tor»
Investigadores de Anomali.
Antes de cifrar archivos, el ransomware solicita una dirección única de billetera de bitcoin, donde las víctimas deben transferir la cantidad del rescate. Esta dirección la obtiene desde el servidor de C&C del atacante que contiene una lista predefinida de monederos ya creados.
Si el servidor se queda sin direcciones de bitcoin únicas, el ransomware no procede a cifrar archivos y espera a que los atacantes creen y proporcionen una nueva dirección.
«Pudimos recopilar un total de 1,091 billeteras únicas destinadas a nuevas víctimas distribuidas en 15 campañas diferentes».
Como recordatorio, instamos a los usuarios a que habiliten las actualizaciones automáticas para mantener el firmware actualizado.
Deja un comentario