Se ha encontrado una nueva familia de ransomware dirigida a atacar dispositivos de almacenamiento de red (NAS, por sus siglas en inglés) basados en Linux fabricados por QNAP, que es una empresa cuyos cuarteles generales está en Taiwán y que mantienen a los usuarios como rehenes de datos importantes hasta que se paga un rescate.
Aunque es un dispositivo ideal para el hogar y las pequeñas empresas, los dispositivos NAS son unidades de almacenamiento de archivos dedicadas conectadas a una red o a través de Internet, que permiten a los usuarios almacenar y compartir sus datos y copias de seguridad con varias computadoras.
Descubierto de forma independiente por investigadores de dos firmas de seguridad independientes, Intezer y Anomali, la nueva familia de ransomware se enfoca en los servidores NAS de QNAP mal protegidos o vulnerables ya sea por fuerza bruta forzando credenciales SSH débiles o explotando vulnerabilidades conocidas.
Apodado “QNAPCrypt” por Intezer y “eCh0raix” por Anomali, el nuevo ransomware está escrito en el lenguaje de programación Go y encripta los archivos con extensiones dirigidas utilizando el cifrado AES y agrega la extensión .encrypt a cada uno.
Sin embargo, si un dispositivo NAS comprometido se encuentra en Bielorrusia, Ucrania o Rusia, el ransomware finaliza el proceso de cifrado de archivos y finaliza sin dañar los archivos.
Además, más adelante en este artículo, también explicamos cómo los investigadores aprovecharon una debilidad lógica en la infraestructura del ransomware que les permitió evitar que este malware infecte a nuevas víctimas temporalmente.
Tras la ejecución, el ransomware de cifrado de archivos primero se conecta a su servidor remoto de comando y control (C&C), protegido detrás de la red Tor, utilizando un proxy Tor SOCKS5 para notificar a los atacantes sobre nuevas víctimas.
Los investigadores de Anomali dicen: “Según el análisis, está claro que el autor del malware ha configurado el proxy para proporcionar a la red Tor el acceso al malware sin incluir la funcionalidad de Tor“.
Antes de cifrar archivos, el ransomware solicita una dirección única de billetera de bitcoin, donde las víctimas deben transferir la cantidad del rescate, desde el servidor de C&C del atacante que contiene una lista predefinida de direcciones de bitcoin ya creadas.
Si el servidor se queda sin direcciones de bitcoin únicas, el ransomware no procede a cifrar archivos y esperar a que los atacantes creen y proporcionen una nueva dirección.
Curiosamente, los investigadores de Intezer aprovecharon este mecanismo y crearon un script que les permitió engañar al servidor de C&C del atacante para que asignara todas las direcciones de bitcoin disponibles a cientos de víctimas virtuales, lo que impedía que el ransomware cifrara archivos para nuevas víctimas legítimas.
Los investigadores de Intezer declararon: “Dado que los autores detrás de este ransomware entregaron una billetera Bitcoin por víctima de un conjunto estático de billeteras ya generadas, podríamos replicar los paquetes de infección para recuperar todas las billeteras hasta que no tuvieran más billeteras bajo su control. Pudimos recopilar un total de 1,091 billeteras únicas destinadas a nuevas víctimas distribuidas en 15 campañas diferentes“.
Si el ransomware obtiene su monedero bitcoin único, entonces genera una cadena aleatoria de 32 caracteres para crear una clave secreta AES-256 y luego utiliza esta para cifrar todos los archivos almacenados en el dispositivo NAS seleccionado con el algoritmo AES en el modo de retroalimentación de cifrado (CFB). Eliminando los archivos originales.
Dado que el módulo de cifrado usa el paquete matemático para generar la clave secreta, los investigadores de la empresa de seguridad informática Anomali dijeron que es posible la construcción de un descifrador para la nueva familia de ransomware porque la función no es completamente aleatoria.
El malware inicializa la página aleatoria de matemáticas con la semilla de la hora actual. Dado que está utilizando el paquete matemático para generar la clave secreta, no es criptográficamente aleatorio, y es por lo tanto posible escribir un descifrador.
Los investigadores de Anomali dijeron: “El actor de amenazas apunta a los dispositivos NAS de QNAP que se usan para el almacenamiento de archivos y las copias de seguridad. No es común que estos dispositivos ejecuten productos antivirus, y actualmente, las muestras solo son detectadas por 2-3 productos en VirusTotal, lo que permite que el ransomware corra libremente“.
Los investigadores también observaron que antes de cifrar los archivos almacenados en dispositivos NAS específicos, el ransomware también intenta eliminar una lista específica de procesos, incluidos apache2, httpd, nginx, MySQL, mysql y PostgreSQL.
Es importante que los usuarios sean concientes de este tipo de amezas ya que sin saberlo o innecesariamente, pueden tener conectados sus dispositivos NAS directamente a Internet y de esta forma verse afectados por este ramsonware, también hay que recordar habilitar las actualizaciones automáticas para mantener el firmware actualizado y de esta forma recibir las actualizaciones ya disponibles que solucionan las vulnerabilidades aprovechadas por el ransomware.
No está demás recordar a los usuarios, el uso de contraseñas seguras para proteger sus dispositivos NAS y hacer copias de seguridad offline de la información almacenada en estos dispositivos, para que en caso de cualquier desastre, los datos importantes puedan recuperarse sin pagar rescate a los atacantes.