QNAP vuelve a advertir a los clientes que aseguren sus dispositivos de almacenamiento conectado a la red (NAS) expuestos a Internet para defenderse de los ataques continuos y generalizados dirigidos a sus datos con la nueva variedad de ransomware DeadBolt.
DeadBolt ha estado apuntando ampliamente a todos los NAS expuestos a Internet sin ninguna protección y cifrando los datos de los usuarios para el rescate de Bitcoin
dijo la compañía en un comunicado emitido hoy.
«Su NAS está expuesto a Internet y corre un alto riesgo si aparece ‘Se puede acceder directamente al servicio de administración del sistema desde una dirección IP externa a través de los siguientes protocolos: HTTP’ en el tablero».
Se insta a todos los usuarios de QNAP a «actualizar inmediatamente QTS a la última versión disponible» para bloquear los ataques entrantes de ransomware DeadBolt.
El fabricante del NAS también aconseja a los clientes que deshabiliten inmediatamente el reenvío de puertos en su enrutador y la función UPnP del NAS de QNAP mediante los siguientes pasos:
- Deshabilite la función de reenvío de puertos del enrutador: vaya a la interfaz de administración de su enrutador, verifique la configuración del servidor virtual, NAT o reenvío de puertos y deshabilite la configuración de reenvío de puertos del puerto del servicio de administración NAS (puerto 8080 y 433 de forma predeterminada).
- Deshabilite la función UPnP del QNAP NAS: Vaya a myQNAPcloud en el menú QTS, haga clic en «Configuración automática del enrutador» y anule la selección de «Habilitar el reenvío de puertos UPnP».
También puede usar esta guía detallada paso a paso para desactivar las conexiones SSH y Telnet, cambiar el número de puerto del sistema y las contraseñas del dispositivo, y habilitar la protección de IP y acceso a la cuenta.
También hay un tema de soporte para el ransomware DeadBolt en el foro de BleepingComputer con más información sobre los ataques y con la ayuda de otros usuarios de QNAP.
Nuevas superficies de ransomware DeadBolt
Como informó BleepingComputer ayer, el grupo de ransomware DeadBolt comenzó a atacar a los usuarios de QNAP el 25 de enero, encriptando archivos en dispositivos NAS comprometidos y agregando una extensión de archivo .deadbolt.
Los atacantes no lanzan notas de rescate en dispositivos encriptados, sino que secuestran las páginas de inicio de sesión para mostrar pantallas de advertencia que dicen «ADVERTENCIA: DeadBolt bloqueó sus archivos».
La pantalla de rescate pide a las víctimas que paguen 0,03 bitcoins (aproximadamente $1100) a una dirección de Bitcoin única generada para cada víctima, afirmando que la clave de descifrado se enviará a la misma dirección de cadena de bloques en el campo OP_RETURN una vez que se realice el pago.
Por el momento, no hay confirmaciones de que los actores de amenazas realmente cumplan su promesa de enviar una clave de descifrado que funcione después de pagar el rescate.
Nota e instrucciones de rescate de DeadBolt (BleepingComputer)
Estos ataques de ransomware DeadBolt en curso solo afectan a los dispositivos NAS expuestos y, dado que los atacantes también afirman usar un error de día cero, se recomienda desconectarlos de Internet tal como lo recomendó QNAP en la advertencia de hoy.
La banda de DeadBolt también está pidiendo a QNAP que pague 50 bitcoins (alrededor de $1,85 millones) por el día cero y una clave maestra de descifrado para descifrar los archivos de todas las víctimas afectadas.
La advertencia de hoy es la tercera que emite QNAP para alertar a los clientes sobre ataques de ransomware dirigidos a sus dispositivos NAS expuestos a Internet en los últimos 12 meses.
Previamente, se les advirtió sobre los ataques de ransomware eCh0raix en mayo y los ataques de ransomware AgeLocker en abril.
La compañía también instó a todos los usuarios de NAS de QNAP a proteger los dispositivos NAS expuestos al acceso a Internet el 7 de enero, y al mismo tiempo los alertó sobre ransomware activo y ataques de fuerza bruta.
Fuente: https://www.bleepingcomputer.com
