Virus

Nuevo ataque ransomware esta vez a QNAP: cifran los datos de los usuarios y piden un rescate

Nuevo ataque ransomware esta vez a QNAP: cifran los datos de los usuarios y piden un rescate

Días después de hablarte de los ransomware, la empresa QNAP acaba de sufrir este ataque. Lo que ha ocurrido es que han cifrado los NAS de los usuarios y le piden un rescate a cambio. La sorpresa de muchos fue cuando se encontraron con este mensaje «»¡¡¡Todos tus archivos han sido cifrados!!!«».

Ataque ransomware a QNAP

Sabemos que este tipo de virus son el pan de cada día de muchas empresas. Lamentablemente, el atacante es quien decide los datos que quiere secuestrar y siempre lo hace de la misma manera, pidiendo dinero a cambio de que sean devueltos. En este caso a cambio de la criptomoneda, bitcoin.

En esta ocasión, la compañía afectada es QNAP, cuyos usuarios se ha encontrado con un mensaje en el que se les avisaba que sus datos habían sido cifrados. Concretamente, con el nuevo ranwomare Qlocker, que cifra los servidores NAS por una vulnerabilidad.

¿Cuándo sucedió el ataque a QNAP?

Se estima que se produjo el 19 de abril. Fue en ese momento cuando este Qlocker se puso a comprimir los archivos de los dispositivos NAS en archivos 7-zip cifrados. Aprovechándose de una vulnerabilidad hallada en el sistema.

Tras cifrarlos, dejaron en un archivo de texto una nota para cada usuario, en la que se le explicaba que sus archivos estaban cifrados con una clave única y que para conocerla, debían pagar 500 euros en Bitcoin.

Durante un momento se pudo obtener esa clave única gratis

Tras conocerse la noticia, el conocido hacker Jack Cable, consiguió que los usuarios de QNAP pudieran conseguir la clave única gratis, sin necesidad de pagarles cryptos a sus secuestradores. Lamentablemente, la noticia duró poco tiempo, porque luego el truco dejó de funcionar.

Fue vía Twitter donde Jack Cable nos avisó de» «Si alguien está lidiando con el ransomware QLocker QNAP NAS, no dude en enviarme un DM. Puedo ayudar a recuperar datos. #qlocker». Tras poner el mensaje.

Sin embargo, un rato después actualizó el tuit diciendo: «Actualización: parece que los operadores de ransomware ya lo han solucionado, desafortunadamente. Le pido disculpas si no pude llegar al suyo antes de que lo arreglaran. En total, se descifraron alrededor de 50 claves por valor de $ 27k.«

Es en este último mensaje donde confirma que pudo ayudar a descifrar 50 claves de los usuarios de QNAP completamente gratis, quienes se ahorraron pagar los 500 en bitcoin, que son unos 27.000 dólares. Una gran noticia, aunque lamentablemente durase poco tiempo.

¿Qué vulnerabilidad está detrás del ataque a QNAP?

Como te comentamos, los hackers accedieron a causa de una vulnerabilidad hallada en el sistema. Concretamente se estima que es la vulnerabilidad conocida como VE-2020-36195, que permite ejecutar el ransomware en dispositivos vulnerables, según han señalado los chicos de QNAP en un comunicado oficial a sus usuarios.

¿Cómo evitar la vulnerabilidad?

Es necesario actualizar algunos de los componentes del NAS como son QTS y Multimedia Console.

Además, también es recomendable actualizar el software del NAS, especialmente el antivirus Malware Remover. Si se actualiza puede detectar el ransomware y evitar que se ejecute en dispositivos que aún no han sido infectados.

Y en el caso de ser un usuario afectado y contar con un NAS infectado, desde la compañía no recomiendan apagar o reiniciar el NAS, sino directamente ejecutar la última versión de Malware Remover para hacer un análisis y ver qué pasa.  analizar todo el NAS. Luego, contactar con el soporte técnico de QNAP.

Pero esto no es todo, porque la compañía también ha asegurado encontrarse trabajando en una solución que permita eliminar el malware de todos los equipos NAS afectados hasta la fecha.

¿Cómo podemos protegernos para que no nos afecte?

Lamentablemente, estos tipos de ataques están cada vez más a la orden del día. Sin embargo, podemos evitar que esto ocurra o, aunque ocurra, reducir su impacto. ¿Cómo? Por medio de las copias de seguridad de Copia Nube.

Nuestras copias acceden a un bucket privado, solo accesible mediante el software de copias. Se cifra con contraseña en origen y el transporte es por sll.

¿Cuántas copias de seguridad hacer y cómo?

Principalmente para estos casos como en el ataque ransomware que ha sufrido QNAP, siempre es recomendable hacer copias externas y locales como permite nuestro software de backups, siguiendo la regla 3-2-1 (tres copias de los datos, en dos dispositivos diferentes y una externa).

Ten en cuenta que, lo que le ha ocurrido a QNAP podría pasar en más sitios. Por eso es importante protegerse y cubrirse bien las espaldas, para que esto no sea un problema, tanto desde el punto de vista de la seguridad como en materia económica, dado que suelen pedir rescates de cuantías elevadas.

Por todo esto es por lo que recomendamos encarecidamente tener una copia de seguridad fuera. Es indispensable para estar protegido y tener un plan b en el caso de que algo así nos pueda pasar.

¿Qué opinas sobre lo sucedido? ¿Alguna vez te ha ocurrido algo similar?