Productos y Servicios PRODUCTOS Y SERVICIOS

Ataques ransomware dirigidos a NAS de fuerza bruta

La empresa Synology especializada en almacenamiento conectado en red (Network Attached Storage o NAS) emitió una alerta urgente para que los propietarios verifiquen la configuración de seguridad de su dispositivo, después de que se descubriera que los ciberdelincuentes están atacando a numerosos proveedores de NAS con una nueva campaña de ransomware.

Al principio, se pensó que los ataques recientes podrían estar explotando una vulnerabilidad de software desconocida en los productos de Synology, pero según la empresa, desde entonces se ha establecido que el método empleado por los atacantes es un ataque de fuerza bruta de credenciales de administrador, mucho más simple pero efectivo.

El Gerente de Equipo de Respuesta a Incidentes de Seguridad de Synology, Ken Lee, escribió:

Creemos que este es un ataque organizado. Después de una intensa investigación sobre este asunto, descubrimos que el atacante usaba direcciones de botnet para ocultar la IP real de origen.

Descubierto el 19 de julio de 2019, la campaña implica probar muchas contraseñas de uso común en dispositivos NAS conectados a Internet. Los ciberatacantes esperan que eventualmente encuentren una contraseña que les permita el acceso necesario para cifrar los datos que contiene.

El primer síntoma será una nota de rescate en un archivo, que generalmente pide miles de dólares en bitcoins, para descifrar los datos.

Cuando eliminas las técnicas utilizadas para ocultar la IP de origen, este no es un ataque complejo. Esa es una buena noticia porque significa que tampoco es difícil defenderse si los propietarios verifican y habilitan configuraciones de seguridad específicas (ver más abajo).

Desafortunadamente, eso significa que tampoco es difícil comprometer un NAS pobremente defendido, lo que ha llevado a que varios usuarios vean bloqueados grandes volúmenes de datos.

Advertencia: esta campaña no solo se dirige a los dispositivos NAS de Synology, sino que también se están utilizando las mismas técnicas para atacar productos de otros proveedores.

En otros incidentes recientes que afectaron a otro proveedor de NAS, QNAP, a principios de julio, el ransomware involucrado fue eCh0raix (probablemente el culpable de la última campaña de Synology) sobre el que puede leer más en el sitio de la empresa de seguridad que lo detectó por primera vez.

Qué hacer

Synology enumera una serie de defensas básicas, comenzando con la necesidad de establecer una contraseña de administrador larga y compleja (los ataques de fuerza bruta tienen éxito si son cortas y simples) antes de hacer lo mismo para todos los demás que tengan acceso a los datos en el dispositivo.

La forma más sencilla de asegurarse de que esto se haya realizado en un NAS de Synology es habilitar la opción “obligar a los usuarios a cambiar las contraseñas después de que el administrador restablezca la configuración de la contraseña” en la consola de administración.

Una segunda configuración es “aplicar reglas de seguridad de contraseña” después de decidir lo que esto significa (por ejemplo, obligar a los usuarios a incluir casos mixtos, caracteres especiales, números y excluir nombres y descripciones de usuarios).

Synology también recomienda:

  • Crear una nueva cuenta en el grupo de administradores y deshabilitar la cuenta “admin”.
  • Habilitar Auto Bloqueo en el Panel de Control para bloquear direcciones IP con demasiados intentos fallidos de inicio de sesión.
  • Ejecute el Asesor de Seguridad para asegurarse de que no haya contraseñas débiles en el sistema.
  • Habilitar el Cortafuegos en el Panel de Control y permitir los puertos públicos solo cuando sea necesario.
  • Finalmente, habilite la verificación en dos pasos (2SV).
  • Según el consejo general de Synology, las versiones múltiples en la nube deberían permitir a los defensores volver a las mismas versiones o versiones anteriores de los mismos archivos. O, mejor aún, haga copias de seguridad sin conexión a la red habitualmente.

Un punto crítico, sobre el tema del acceso remoto, asegúrese de que no esté habilitado a través de RDP cuando no debería estarlo, o mejor nunca.

En este blog hemos hablado de numerosos ataques dirigidos a RDP en los últimos tiempos y hemos explicado cómo proteger este protocolo en una gama de servicios, incluidos los NAS.

Recuerde, los ataques de ransomware NAS de los que hablamos aquí dependen de que el acceso remoto este pobremente asegurado para tener éxito. Cierre esa puerta y habrá bloqueado su entrada.

Le instamos a leer el Informe de amenazas de SophosLabs 2019, en el que los investigadores de Sophos analizan el estado actual del cibercrimen, incluida una sección sobre ransomware.

Por último, visite sophos.com para leer más sobre las tecnologías anti-ransomware, incluido Sophos Intercept X.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: