Dispositivos NAS de QNAP afectados por la ola de ech0raix

Los usuarios de dispositivos de almacenamiento adjunto a la red (NAS) de QNAP informan sobre ataques a sus sistemas con el ransomware eCh0raix, también conocido como QNAPCrypt.

El autor de la amenaza detrás de este malware en particular intensificó su negocio aproximadamente una semana antes de Navidad, tomando el control de los dispositivos con privilegios de administrador.

El recuento de ataques aumenta antes de Navidad

Los usuarios del foro BleepingComputer que administran los sistemas QNAP y Synology NAS han informado regularmente sobre ataques de ransomware eCh0raix, pero muchos de ellos comenzaron a revelar incidentes alrededor del 20 de diciembre.

El aumento en el número de ataques lo confirma el servicio de ransomware ID, donde las presentaciones comenzaron a aumentar el 19 de diciembre y disminuyeron alrededor del 26 de diciembre.

El vector de la infección inicial sigue sin estar claro en la actualidad. Algunos usuarios admiten que fueron descuidados y no protegieron adecuadamente el dispositivo (por ejemplo, lo exponen a Internet a través de una conexión no segura); otros afirman que una vulnerabilidad en Photo Station de QNAP permitió a los atacantes causar estragos.

Sí, sé que soy un completo idiota por dejarlo abierto a este tipo de trucos, pero no lo tomé en serio. ¡Siempre pensé que nadie quería al pequeño y seré el primero en decir que estaba equivocado!

Independientemente de la ruta del ataque, parece que el actor del ransomware eCh0raix crea un usuario en el grupo de administradores, lo que les permite cifrar todos los archivos en el sistema NAS.

Los usuarios de QNAP, algunos de los cuales utilizan el dispositivo NAS para fines comerciales, informaron en el foro BleepingComputer que el malware tiene imágenes y documentos encriptados.

Aparte del aumento en el número de ataques, lo que se destaca en esta campaña es que el actor escribió mal la extensión de la nota de rescate y usó la extensión ".TXTT".

Si bien esto no impide que se muestren las instrucciones, puede crear un problema para algunos usuarios, que deberán apuntar al sistema operativo para abrir el archivo con un programa específico (por ejemplo, el Bloc de notas) o cargarlo en ese programa.

BleepingComputer ha recibido solicitudes de ransomware ech0raix que van desde .024 ($ 1,200) a .06 bitcoin ($ 3,000) durante estos ataques recientes. Algunos usuarios no tenían opciones de copia de seguridad y tuvieron que pagar al autor de la amenaza para recuperar sus archivos.

página de pago del ransomware ech0raix

Es importante tener en cuenta que existe un descifrador gratuito para archivos bloqueados con una versión anterior (antes del 17 de julio de 2019) del ransomware eCh0raix. Sin embargo, no existe una solución gratuita para descifrar los datos bloqueados por las últimas variantes de malware (versiones 1.0.5 y 1.0.6).

Los ataques con eCh0raix / QNAPCrypt comenzaron en junio de 2019 y han sido una amenaza constante desde entonces. QNAP a principios de este año alertó a sus usuarios de otra serie de ataques eCh0raix a principios de este año, dirigidos a dispositivos con contraseñas débiles.

Los usuarios deben seguir las recomendaciones de QNAP para garantizar la protección adecuada de sus dispositivos NAS y los datos que almacenan.

Descubre más contenido

Subir Change privacy settings