Synology advierte sobre malware que infecta los dispositivos NAS con ransomware

Synology, fabricante de NAS con sede en Taiwán, advirtió a sus clientes que la botnet StealthWorker está apuntando a sus dispositivos de almacenamiento conectados a la red en continuos ataques de fuerza bruta que conducen a infecciones de ransomware.

Según el equipo de respuesta a incidentes de seguridad de productos de Synology (PSIRT), los dispositivos Synology NAS comprometidos en estos ataques se utilizan posteriormente en nuevos intentos de violar varios sistemas Linux.

"Estos ataques explotan una variedad de dispositivos ya infectados para intentar adivinar las credenciales administrativas comunes y, si tienen éxito, iniciarán sesión en el sistema para instalar su carga útil maliciosa, que puede incluir ransomware". Synology dijo en un aviso de seguridad.

"Los dispositivos infectados pueden realizar ataques adicionales en otros dispositivos basados ​​en Linux, incluido Synology NAS".

La compañía está coordinando con varias organizaciones CERT en todo el mundo para cerrar la infraestructura de la botnet cerrando todos los servidores de comando y control (C2) que detecta.

Synology está trabajando para notificar a todos los clientes potencialmente afectados sobre estos ataques en curso dirigidos a sus dispositivos NAS.

Índice de contenidos
  1. Cómo defenderse de estos ataques
  2. Malware de fuerza bruta dirigido a máquinas Windows y Linux

Cómo defenderse de estos ataques

El fabricante de NAS alienta a todos los administradores de sistemas y clientes a cambiar las credenciales administrativas débiles en sus sistemas, habilitar la protección de cuentas y el bloqueo automático y, cuando sea posible, configurar la autenticación multifactor.

Synology rara vez emite alertas de seguridad que advierten de ataques activos contra sus clientes. El última advertencia sobre infecciones de ransomware tras exitosos ataques de fuerza bruta a gran escala se lanzó en julio de 2019.

La compañía recomendó a los usuarios que siguieran la siguiente lista de verificación para defender sus dispositivos NAS de los ataques:

  • Utilice una contraseña segura e Aplicar reglas de seguridad de contraseña a todos los usuarios.
  • Cree una nueva cuenta en el grupo de administradores y desactive la cuenta "admin" predeterminada del sistema.
  • Para permitir Bloqueo automático en Panel de control para bloquear direcciones IP con demasiados intentos fallidos de inicio de sesión.
  • Correr Consultor de seguridad para asegurarse de que no haya contraseñas débiles en el sistema.

"Para garantizar la seguridad de Synology NAS, recomendamos encarecidamente que habilite Firewall en el Panel de control y permita puertos públicos para servicios solo cuando sea necesario y habilite la verificación en dos pasos para evitar intentos de inicio de sesión no autorizados", agregó la compañía.

"Es posible que también desee habilitar Snapshot para mantener su NAS inmune al ransomware basado en cifrado".

Synology proporciona más información sobre cómo defender su dispositivo NAS de infecciones de ransomware aquí.

Malware de fuerza bruta dirigido a máquinas Windows y Linux

Si bien Synology no ha compartido más información sobre el malware utilizado en esta campaña, los detalles compartidos se alinean con una fuerza bruta basada en Golang descubierto por Malwarebytes a finales de febrero de 2019 y apodado StealthWorker.

Hace dos años, StealthWorker se utilizó para comprometer sitios web de comercio electrónico mediante la explotación de vulnerabilidades en Magento, phpMyAdmin y cPanel para distribuir skimmers diseñados para filtrar pagos e información personal.

Sin embargo, como Malwarebytes señaló en ese momento, el malware también tiene capacidades de fuerza bruta que le permiten acceder a dispositivos expuestos a Internet utilizando contraseñas generadas localmente o desde listas de credenciales previamente comprometidas.

A partir de marzo de 2019, los operadores de StealthWorker han cambiado a un enfoque de solo fuerza bruta que escanea Internet en busca de hosts vulnerables con credenciales débiles o predeterminadas.

Una vez implementado en una máquina comprometida, el malware crea tareas programadas tanto en Windows como en Linux para lograr la persistencia y, como advirtió Synology, distribuye cargas útiles de malware de segundo nivel, incluido el ransomware.

Aunque el fabricante de NAS no emitió una advertencia de seguridad, los clientes informaron en enero que había infectado sus dispositivos con el malware de criptojacking Dovecat Bitcoin. [1, 2] a partir de noviembre de 2020, en una campaña que también se dirigió a los dispositivos NAS de QNAP.

Un portavoz de Synology no estaba disponible para hacer comentarios cuando BleepingComputer se comunicó con él hoy para obtener más detalles sobre estos ataques.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings