Protege tu servidor NAS QNAP de eCh0raix, el nuevo y peligroso ransomware

Los servidores NAS han ganado mucha popularidad en los últimos años tanto en pequeñas y medianas empresas como en entornos domésticos. Estos pequeños servidores nos permiten montar un sistema de almacenamiento centralizado en el que cualquier usuario de la red puede guardar sus archivos y acceder a ellos desde cualquier ordenador o dispositivo. Normalmente los NAS suelen ser seguros y tener actualizaciones periódicas para garantizar la seguridad e integridad de los datos de los usuarios, sin embargo, en ocasiones aparecen amenazas muy graves, como el nuevo ransomware eCh0raix, que nos obligan a actuar cuanto antes si no queremos correr más peligro.

eCh0raix (también conocido como QNAPCrypt) es un nuevo ransomware que ha empezado a circular por la red y cuyo objetivo es infectar servidores NAS, concretamente del fabricante taiwanés QNAP, para cifrar todos los archivos guardados en él y pedir el pago de un rescate a cambio de los archivos.

Este ransomware está escrito en Go y se basa en la fuerza bruta para poder conectarse de forma remota a los servidores NAS vulnerables y, además, cuenta con una serie de exploits para llevar a cabo ataques dirigidos. Algunos de los modelos de NAS QNAP afectados por este ransomware son:

  • QNAP TS-251
  • QNAP TS-451
  • QNAP TS-459 Pro II
  • QNAP TS 253B

Cuando este ransomware infecta uno de los servidores, lo primero que hacer es generar un monedero de Bitcoin único. Si este existe, repetirá el proceso. En caso de que no exista, entonces este malware genera una cadena de 32 caracteres aleatoria que se utilizará para crear una clave secreta AES-256 y usarla para cifrar los archivos que la víctima tiene guardados en el servidor NAS, eliminando los archivos originales tras el proceso. Además, tras cifrar los datos, el ransomware intenta finalizar determinados servicios que puede haber en ejecución, como apache2, httpd, nginx, MySQL, mysql y PostgreSQL.

Ransomware eCh0raix

Este ransomware busca cifrar la mayoría de los datos personales de los usuarios, desde documentos e imágenes hasta audio y vídeo. La lista completa de formatos que secuestra es:

eCh0raix archivos cifrados

De momento, los investigadores de seguridad no han lanzado una herramienta para recuperar los datos cifrados sin pagar, aunque, como indican, no debería ser complicado crear esta herramienta debido a que eCh0raix utiliza librerías matemáticas para generar las claves, por lo que no debería ser complicado hacer ingeniería inversa.

Por si acaso, lo mejor que podemos hacer es proteger correctamente nuestro servidor NAS para evitar caer en las garras de este ransomware. Y a continuación os explicamos cómo hacerlo.

Cómo proteger tu NAS QNAP del ransomware eCh0raix

Lo primero que debemos tener en cuenta es que este ransomware hace uso de la fuerza bruta para intentar conectarse de forma remota al NAS. Si tenemos una contraseña débil seguro que este ransomware consigue infectar nuestro NAS y secuestrar los archivos. Además, estos NAS son compatibles con los sistemas de doble autenticación, por lo que también es recomendable habilitar esta medida de seguridad para reducir la probabilidad de que usuarios no autorizados se conecten a nuestro servidor.

Contraseña NAS QNAP

Además de proteger nuestra sesión, es recomendable asegurarnos de estar utilizando las últimas versiones del firmware del servidor. Como hemos dicho anteriormente, este ransomware utiliza varios exploits para ganar privilegios dentro del sistema y, por lo tanto, si estamos utilizando una versión desactualizada del firmware de nuestro NAS seguramente el ransomware podrá infectar el servidor a través de estas vulnerabilidades.

¿Y un antivirus para el NAS QNAP?

Por lo general, la mayoría de los usuarios no utiliza un antivirus en sus servidores NAS QNAP debido a la poca probabilidad de que un malware ataque directamente estos servidores Linux. Por ello, la mayoría de las firmas de seguridad no se molestan en añadir a sus bases de datos este tipo de amenaza, y por ello este malware solo ha sido detectado por 3 antivirus, entre ellos Kaspersky.

eCh0raix VirusTotal

Un antivirus para un NAS solo consumirá valiosos recursos, por lo que nunca recomendamos instalarlo, igual que tampoco lo recomendamos instalar en cualquier otro servidor o dispositivo Linux. Con los concejos básicos de seguridad de usar contraseñas de acceso seguras y tener el sistema siempre actualizado, no deberíamos tener problema.

De todas formas, una copia de seguridad adicional de los datos más importantes nunca está de más para que, en el caso de caer en las garras de una amenaza como esta, poder recuperar nuestros archivos.