Los servidores NAS han ganado mucha popularidad en los últimos años tanto en pequeñas y medianas empresas como en entornos domésticos. Estos pequeños servidores nos permiten montar un sistema de almacenamiento centralizado en el que cualquier usuario de la red puede guardar sus archivos y acceder a ellos desde cualquier ordenador o dispositivo. Normalmente los NAS suelen ser seguros y tener actualizaciones periódicas para garantizar la seguridad e integridad de los datos de los usuarios, sin embargo, en ocasiones aparecen amenazas muy graves, como el nuevo ransomware eCh0raix, que nos obligan a actuar cuanto antes si no queremos correr más peligro.
eCh0raix (también conocido como QNAPCrypt) es un nuevo ransomware que ha empezado a circular por la red y cuyo objetivo es infectar servidores NAS, concretamente del fabricante taiwanés QNAP, para cifrar todos los archivos guardados en él y pedir el pago de un rescate a cambio de los archivos.
Este ransomware está escrito en Go y se basa en la fuerza bruta para poder conectarse de forma remota a los servidores NAS vulnerables y, además, cuenta con una serie de exploits para llevar a cabo ataques dirigidos. Algunos de los modelos de NAS QNAP afectados por este ransomware son:
- QNAP TS-251
- QNAP TS-451
- QNAP TS-459 Pro II
- QNAP TS 253B
Cuando este ransomware infecta uno de los servidores, lo primero que hacer es generar un monedero de Bitcoin único. Si este existe, repetirá el proceso. En caso de que no exista, entonces este malware genera una cadena de 32 caracteres aleatoria que se utilizará para crear una clave secreta AES-256 y usarla para cifrar los archivos que la víctima tiene guardados en el servidor NAS, eliminando los archivos originales tras el proceso. Además, tras cifrar los datos, el ransomware intenta finalizar determinados servicios que puede haber en ejecución, como apache2, httpd, nginx, MySQL, mysql y PostgreSQL.
Este ransomware busca cifrar la mayoría de los datos personales de los usuarios, desde documentos e imágenes hasta audio y vídeo. La lista completa de formatos que secuestra es:
De momento, los investigadores de seguridad no han lanzado una herramienta para recuperar los datos cifrados sin pagar, aunque, como indican, no debería ser complicado crear esta herramienta debido a que eCh0raix utiliza librerías matemáticas para generar las claves, por lo que no debería ser complicado hacer ingeniería inversa.
Por si acaso, lo mejor que podemos hacer es proteger correctamente nuestro servidor NAS para evitar caer en las garras de este ransomware. Y a continuación os explicamos cómo hacerlo.
Lo primero que debemos tener en cuenta es que este ransomware hace uso de la fuerza bruta para intentar conectarse de forma remota al NAS. Si tenemos una contraseña débil seguro que este ransomware consigue infectar nuestro NAS y secuestrar los archivos. Además, estos NAS son compatibles con los sistemas de doble autenticación, por lo que también es recomendable habilitar esta medida de seguridad para reducir la probabilidad de que usuarios no autorizados se conecten a nuestro servidor.
Además de proteger nuestra sesión, es recomendable asegurarnos de estar utilizando las últimas versiones del firmware del servidor. Como hemos dicho anteriormente, este ransomware utiliza varios exploits para ganar privilegios dentro del sistema y, por lo tanto, si estamos utilizando una versión desactualizada del firmware de nuestro NAS seguramente el ransomware podrá infectar el servidor a través de estas vulnerabilidades.