Un ataque ransomware a QNAP está cifrando los NAS de los usuarios y pide un rescate para recuperar los archivos
“¡¡¡Todos tus archivos han sido cifrados!!!” Con este mensaje se están encontrado algunos usuarios de QNAP, la marca de dispositivos NAS. Un nuevo ransomware llamado Qlocker está haciéndose con los servidores NAS de todo el mundo aprovechando una vulnerabilidad. A cambio de devolverlos (de devolver su contenido), pide una transacción Bitcoin.
El ataque comenzó a aparecer en dispositivos QNAP el pasado 19 de abril, según relata Bleeping Computer. Esencialmente lo que el ransomware Qlocker está haciendo es comprimir los archivos de los dispositivos NAS en archivos 7-zip cifrados. Para ello primero el ransomware accede al NAS aprovechando una vulnerabilidad del sistema.
Una vez los archivos están cifrados deja sólo un archivo de texto en el que explica la situación al usuario. En la nota se le indica que sus archivos están cifrados con una clave única. Para conocer esa clave única hay que pagar un rescate de alrededor de 500 euros en Bitcoin a los hackers en una web de Tor.
Soluciones temporales
En las últimas horas el hacker Jack Cable explicó que consiguió encontrar una vulnerabilidad en el sistema del ransomware para saltarse el pago y obtener la clave gratis. Horas más tarde parece ser que los hackers arreglaron esa vulnerabilidad y ya no funciona el truco.
Update: it looks like this may have been fixed by the ransomware operators, unfortunately. I apologize if I was not able to get to yours before it was fixed. In total decrypted around 50 keys worth $27k.
— Jack Cable (@jackhcable) April 22, 2021
Por su parte, QNAP ha enviado un comunicado oficial para aclarar el asunto. Creen que los hackers están utilizando una vulnerabilidad conocida como VE-2020-36195 para ejecutar el ransomware en dispositivos vulnerables. La recomendación que están haciendo es actualizar diversos componentes del NAS como QTS y Multimedia Console.
Desde QNAP también recomiendan y enfatizan en la importancia de actualizar el software del NAS, especialmente Malware Remover. Este antivirus de la marca está actualizado para detectar el ransomware y evitar que se ejecute en dispositivos aún no infectados. Dicen que están trabajando en una solución para eliminar también el malware de los dispositivos ya infectados.
¿Qué hace si el NAS está ya infectado? QNAP recomienda no apagar ni reiniciar el NAS, sino ejecutar la última versión de Malware Remover y analizar todo el NAS. Una vez hecho, ponerse en contacto con el soporte técnico de QNAP.
Vía | Bleeping Computer
Más información | QNAP
–
La noticia
Un ataque ransomware a QNAP está cifrando los NAS de los usuarios y pide un rescate para recuperar los archivos
fue publicada originalmente en
Xataka
por
Cristian Rus
.