QNAP, el fabricante de dispositivos de almacenamiento conectado a la red (NAS), ha advertido de nuevos ataques del grupo de ransomware DeadBolt contra sus productos.
En esta ocasión se estarían encriptando archivos en dispositivos NAS que ejecutan versiones obsoletas de QTS 4.x basado en Linux, que presumiblemente tienen algún tipo de debilidad explotable. Todo apunta a la familia de ransomware DeadBolt.
Desafortunadamente para la empresa taiwanesa, este no es el primer ataque de ransomware que experimenta durante este ejercicio. Los anteriores ocurrieron en enero, marzo y mayo.
De hecho, de las 778 vulnerabilidades listadas por la Agencia de Seguridad de Infraestructura y Ciberseguridad del Gobierno de EE.UU ocho han estado relacionadas con dispositivos NAS y 10 han involucrado a QNAP de alguna manera.
En el caso de aquellas empresas que ya hayan visto su sistema comprometido lo que aconsejan es que tomen un pantallazo de la nota de rescate para conservar la dirección de bitcoin que se indican, actualicen a la última versión de firmware y "la aplicación de eliminación de malware integrada pondrá automáticamente en cuarentena la nota de rescate que secuestra la página de inicio de sesión".
DeadBolt suele apuntar contra dispositivos NAS y los sistemas de QNAP son su principal objetivo. No obstante, en febrero también atacaron los NAS de Asustor, una filial de Asus.
Por qué los ataques contra NAS están creciendo
En enero la firma de seguridad Trend Micro se hacía eco en un informe de esta tendencia de ataques de ransomware que van contra los NAS. Según la compañía, hay varias razones de su auge, incluyendo que las organizaciones confíen más en el Internet de las Cosas (IoT) para una conectividad constante, la continuidad del flujo de trabajo y al acceso a los datos.
"Los cibermalos se han percatado de esta dependencia y ahora actualizan periódicamente sus herramientas y rutinas conocidas para incluir dispositivos de almacenamiento conectado a la red en su lista de objetivos, sabiendo que los usuarios confían en ellos para almacenar y realizar copias de seguridad de archivos, tanto en hogares como en negocios modernos", explicaban,
Además, los amigos de lo ajeno digitales saben perfectamente que en ellos se guarda información muy valiosa y, además, las medidas de seguridad que se han tomado en muchos casos son mínimas o estén mal configuradas. El hecho de que la aplicación de parches de seguridad suela ser lenta también facilita las cosas a los ciberdelincuentes.
La estrategia de los actores de amenazas en este caso es pedir una pequeña cantidad de dinero a una gran cantidad de víctimas, en lugar de pedir grandes cantidades a pocas víctimas.
A diferencia de otros ransomware enfocados en NAS DeadBolt ofrece múltiples opciones de pago del rescate. Los atacantes suelen exigir a las víctimas que paguen 0,03 bitcoins o unas 1.160 dólares por una supuesta clave para descifrar sus archivos.
Además, DeadBolt viene con una interfaz de usuario web muy simple que puede descifrar los datos una vez se paga el rescate. Las víctimas ni siquiera tienen que ponerse en contacto con el grupo de ransomware.
Para evitar males mayores desde QNAP han recomendado a sus clientes que actualicen los sistemas operativos de sus dispositivos QTS o QuTS hero a las últimas versiones. También se sugiere desconectarlos de la Internet pública.