Se ha encontrado una nueva familia de ransomware dirigida a dispositivos de almacenamiento conectado a la red (NAS) basados en Linux fabricados por QNAP Systems con sede en Taiwán y que retiene los datos importantes de los usuarios como rehenes hasta que se paga un rescate, dijeron los investigadores a The Hacker News.
Ideales para el hogar y las pequeñas empresas, los dispositivos NAS son unidades dedicadas de almacenamiento de archivos conectadas a una red o a través de Internet, que permiten a los usuarios almacenar y compartir sus datos y copias de seguridad con varias computadoras.
Descubierta de forma independiente por investigadores de dos empresas de seguridad independientes, Intezer y Anomali, la nueva familia de ransomware se dirige a servidores NAS de QNAP vulnerables o mal protegidos, ya sea mediante la fuerza bruta de credenciales SSH débiles o explotando vulnerabilidades conocidas.
Apodado «QNAPCrypt» por Intezer y «eCh0raix» por Anomali, el nuevo ransomware está escrito en el lenguaje de programación Go y cifra los archivos con extensiones específicas mediante el cifrado AES y agrega la extensión .encrypt a cada uno.
Sin embargo, si un dispositivo NAS comprometido se encuentra en Bielorrusia, Ucrania o Rusia, el ransomware finaliza el proceso de cifrado de archivos y sale sin dañar los archivos.
Además, más adelante en este artículo, también explicamos cómo los investigadores aprovecharon una debilidad lógica en la infraestructura del ransomware que les permitió evitar que este malware infectara temporalmente a nuevas víctimas.
Tras la ejecución, el ransomware de cifrado de archivos se conecta primero a su servidor de comando y control remoto, protegido detrás de la red Tor, utilizando un proxy SOCKS5 Tor para notificar a los atacantes sobre nuevas víctimas.
«Según el análisis, está claro que el autor del malware configuró el proxy para proporcionar acceso a la red Tor al malware sin incluir la funcionalidad Tor en el malware», dicen los investigadores de Anomali.
Antes de cifrar los archivos, el ransomware solicita una dirección de billetera bitcoin única, donde se supone que las víctimas deben transferir el monto del rescate, desde el servidor C&C del atacante que contiene una lista predefinida de direcciones bitcoin ya creadas.
Si el servidor se queda sin direcciones de bitcoin únicas, el ransomware no procede a cifrar los archivos y espera a que los atacantes creen y proporcionen una nueva dirección.
Curiosamente, los investigadores de Intezer aprovecharon este mecanismo y crearon un script que les permitió engañar al servidor C&C del atacante para que asignara todas las direcciones de bitcoin disponibles a cientos de víctimas virtuales, lo que impidió que el ransomware cifrara archivos para nuevas víctimas legítimas.
«Dado que los autores detrás de este ransomware estaban entregando una billetera Bitcoin por víctima de un grupo estático de billeteras ya generadas, pudimos replicar los paquetes de infección para recuperar todas las billeteras hasta que no tuvieran más billeteras bajo su control», dijo Intezer.
«Pudimos recolectar un total de 1,091 billeteras únicas destinadas a ser entregadas a nuevas víctimas distribuidas entre 15 campañas diferentes».
Si el ransomware obtiene su billetera bitcoin única, genera una cadena aleatoria de 32 caracteres para crear una clave secreta AES-256 y luego la usa para cifrar todos los archivos almacenados en el dispositivo NAS objetivo con el algoritmo AES en modo de retroalimentación de cifrado (CFB), eliminando los archivos originales.
Dado que el módulo de cifrado utiliza el paquete matemático para generar la clave secreta, Anomali dijo que es probable que los investigadores escriban un descifrador para la nueva familia de ransomware porque la función no es completamente aleatoria.
«El malware inicializa la página aleatoria matemática con la semilla de la hora actual. Dado que está utilizando el paquete matemático para generar la clave secreta, no es criptográficamente aleatorio y es probable que se pueda escribir un descifrador», dijeron los investigadores de Anomali.
«El actor de la amenaza tiene como objetivo los dispositivos NAS de QNAP que se utilizan para el almacenamiento de archivos y las copias de seguridad. No es común que estos dispositivos ejecuten productos antivirus y, actualmente, las muestras solo las detectan 2 o 3 productos en VirusTotal, lo que permite que el ransomware correr sin inhibiciones».
Los investigadores también notaron que antes de cifrar los archivos almacenados en los dispositivos NAS específicos, el ransomware también intenta eliminar una lista específica de procesos, incluidos apache2, httpd, nginx, MySQL, mysql y PostgreSQL.
Como recordatorio, instamos a los usuarios a que, sin saberlo o innecesariamente, no conecten sus dispositivos NAS directamente a Internet y también habiliten las actualizaciones automáticas para mantener el firmware actualizado.
Además, siempre se recomienda a los usuarios utilizar contraseñas seguras para proteger sus dispositivos NAS en primer lugar y realizar copias de seguridad periódicas de la información almacenada en estos dispositivos, de modo que, en caso de desastre, los datos importantes puedan recuperarse sin pagar rescate a los atacantes.