Detectan ataques de ransomware contra dispositivos NAS
- Actualidad
Descubierta el 19 de julio, la campaña implica probar muchas contraseñas de uso común en NAS conectados a Internet, con la esperanza de encontrar una contraseña que les permita acceder para cifrar los datos que contienen. Los dispositivos de Synology figuran entre los atacados.
Synology ha emitido una advertencia urgente para que los propietarios de sus dispositivos NAS verifiquen la configuración de seguridad, después de que se descubriera una campaña de ransomware en la que ciberdelincuentes apuntan a numerosos proveedores de NAS.
Al principio se pensó que los ataques podrían estar explotando una vulnerabilidad de software desconocida en los productos de Synology, pero la compañía ha establecido que el método de los atacantes es un ataque de fuerza bruta de credenciales de administrador mucho más simple pero efectiva. Según el director del Equipo de Respuesta a Incidentes de Seguridad de Synology, Ken Lee, “creemos que este es un ataque organizado. Después de una investigación intensiva sobre este asunto, descubrimos que el atacante usó direcciones de botnet para ocultar la IP de origen real”.
Descubierta el 19 de julio de 2019, la campaña implica probar muchas contraseñas de uso común en NAS conectados a Internet. Los atacantes esperan encontrar una contraseña que les permita el acceso necesario para cifrar los datos que contiene. El primer síntoma de infección sería una nota de rescate en un archivo léame, que generalmente pide miles de dólares en bitcoins para descifrar los datos.
Al no tratarse de un ataque complejo, significa que tampoco es difícil hacerle frente, para lo que es necesario que los propietarios verifiquen y habiliten configuraciones de seguridad específicas. Desafortunadamente, eso significa que tampoco es difícil comprometer un NAS débilmente protegido, lo que ha llevado a que varios usuarios se vean afectados.
Esta campaña no solo se dirige a los NAS de Synology, sino que también se están utilizando las mismas técnicas para atacar los productos de otros proveedores. A principios de julio, los dispositivos QNAP se vieron afectados por una campaña similar protagonizada por el ransomware eCh0raix (probablemente el culpable de la última campaña de Synology).
Synology enumera una serie de defensas básicas, comenzando con la necesidad de establecer una contraseña de administrador larga y compleja, y obligar a los usuarios a cambiar sus contraseñas una vez que el administrador resetee la suya.