Dispositivos QNAP NAS dirigidos a otra ola de ataques de ransomware



Imagen: QNAP Los operadores del ransomware eCh0raix han lanzado otra ola de ataques contra dispositivos de almacenamiento conectado a la red (NAS) QNAP. La pandilla eCh0raix ha estado activa desde junio de 2019, cuando implementaron por primera vez una primera versión de su ransomware. A pesar de haber descifrado su versión inicial de ransomware, el grupo nunca ha desaparecido, implementando una versión más nueva que los investigadores de seguridad no pudieron descifrar.
La actividad del grupo se ha ralentizado desde el verano pasado, principalmente debido a la competencia de pandillas de ransomware rivales que apuntan a dispositivos NAS QNAP, como los grupos Muhstik y QSnatch, pero también de los operadores de botnets de IoT. Sin embargo, el grupo ha vuelto a la vida recientemente, y este nuevo aumento en la actividad se puede atribuir a la publicación reciente de un informe de seguridad que detalla tres vulnerabilidades críticas que afectan los dispositivos QNAP. ZDNet cubrió las tres vulnerabilidades como parte de la cobertura de ciberseguridad de nuestro sitio.
Días después de nuestro artículo, este reportero comenzó a recibir solicitudes de soporte de desesperados propietarios de QNAP NAS en busca de una forma de recuperar archivos que han sido encriptados por un misterioso ransomware, que resultó ser eCh0raix. Durante más de dos semanas, hemos estado redirigiendo al propietario de QNAP al foro Bleeping Computer, un sitio de soporte técnico para PC y uno de los lugares de acceso para víctimas de ransomware que buscan ayuda técnica. Desde entonces, hemos estado monitoreando el tema eCh0raix del foro y hemos visto un flujo constante de nuevas víctimas que informan infecciones con ech0raix. Los informes, sin embargo, explotaron esta semana. Como señaló la rama de noticias del sitio Bleeping Computer hoy, la pandilla eCh0raix ha aumentado sus operaciones desde el lunes. Además de una nueva afluencia de víctimas que informan datos NAS encriptados en su foro, el sitio también citó estadísticas de ID-Ransomware, un servicio que permite a los usuarios identificar la versión de ransomware que cifró sus archivos.
ID-Ransomware también experimentó un aumento similar. eso fue visto en los foros de Bleeping Computer. Imagen a través de Bleeping Computer e ID-Ransomware Históricamente, la pandilla eCh0raix ha utilizado tanto ataques de hazañas como de fuerza bruta. Utilizan exploits para atacar vulnerabilidades en dispositivos QNAP antiguos sin parches, y utilizan ataques de fuerza bruta para adivinar contraseñas de administrador comunes y débiles.
Si bien actualmente no está confirmado, es muy posible que la pandilla eCh0raix haya incorporado las vulnerabilidades de QNAP recientemente reveladas en sus ataques, lo que podría explicar el aumento repentino de la actividad. Las tres vulnerabilidades de QNAP son fáciles de explotar y automatizar, y también proporcionan control total sobre un dispositivo atacado. Se recomienda encarecidamente a los propietarios de QNAP NAS que actualicen su firmware QNAP y el software de cualquier software, aplicación o complemento QNAP que puedan estar ejecutando en el dispositivo.
Del mismo modo, se recomienda a los propietarios de dispositivos QNAP que cambien la contraseña de su dispositivo a algo único y difícil de adivinar. En esta página de soporte de QNAP se proporcionan instrucciones sobre cómo hacer ambas cosas y tomar otras medidas de seguridad. Ambas medidas evitarían que la pandilla eCh0raix se apodere de sus sistemas y cifre sus archivos.
Las versiones actuales del ransomware eCh0raix no se pueden descifrar a menos que las víctimas paguen la demanda de rescate mediante un enlace a un portal web oscuro que la pandilla de ransomware deja en los sistemas NAS pirateados, dentro de un archivo de texto. Imagen: ZDNet Sin embargo, se desaconseja pagar el rescate, ya que esto solo genera ganancias para los delincuentes y motiva a la pandilla de ransomware a continuar sus ataques, de ahí la razón por la cual la pandilla eCh0raix no se rindió después de descifrar su primera versión. Las ganancias fueron demasiado buenas.
Actualmente, hay alrededor de medio millón de dispositivos QNAP conectados a Internet. Los dispositivos QNAP, por su naturaleza, están destinados a conectarse en línea, por lo que desconectarlos frustra el propósito de tener uno en primer lugar. Los propietarios deben buscar proteger sus dispositivos y evitar perder datos confidenciales después de un ataque.
pags VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı