Análisis en profundidad

Así es DeadBolt, el ransomware que ataca al NAS de QNAP

DeadBolt es la nueva cepa de ransomware que tiene como objetivo los datos almacenados en los dispositivos de almacenamiento en red (NAS) de QNAP, expuestos a Internet. A continuación, buenas prácticas de configuración para mitigar el riesgo de esta amenaza.

Actualizado el 21 Dic 2023

DeadBolt

Un nuevo grupo de ransomware, apodado DeadBolt, está encripta los sistemas NAS de QNAP en todo el mundo, aprovechando una vulnerabilidad de día cero identificada en el firmware de los dispositivos. Los ataques comenzaron en enero del año pasado, cuando algunos usuarios de QNAP descubrieron que sus archivos habían sido encriptados y renombrados con una nueva extensión .deadbolt.

QNAP es una de las empresas multinacionales más grandes y populares, con sede en Taiwán, especializada precisamente en soluciones NAS comerciales para particulares y empresas de diferentes y múltiples tamaños.

Los detalles del ataque del ransomware DeadBolt

En lugar de escribir notas de rescate en cada una de las carpetas del dispositivo, esta vez la página de inicio de sesión del dispositivo QNAP es pirateada para mostrar un mensaje que dice “ADVERTENCIA: Sus archivos han sido bloqueados por DeadBolt”. Esta pantalla indica a la víctima que envíe 0,03 Bitcoin a una dirección de monedero diferente para cada una.

Tras el pago, los actores de la amenaza afirman enviar una transacción de seguimiento a la misma dirección con la clave de descifrado, que puede obtenerse siguiendo las instrucciones. Los archivos de los dispositivos pueden entonces descifrarse utilizando esta clave.

Sin embargo, no hay ninguna garantía de que el pago de un rescate vaya a dar lugar automáticamente a la recepción de una clave de descifrado o que los usuarios vayan a poder descifrar sus archivos: siempre hay que recordar que se trata de actividades ilícitas y que nunca es recomendable llegar a acuerdos con terceros malintencionados, ya que no hay ninguna garantía.

Los posibles impactos del ataque del ransomware

El Network Attached Storage (NAS), recordemos, es un dispositivo (que se define como dispositivo de red) conectado a una red informática que proporciona a los usuarios, conectados a la misma red, el servicio de compartir archivos en cualquier otro dispositivo que tenga acceso a él. Por lo tanto, contiene en su interior varias unidades de almacenamiento masivo en forma de discos duros, individuales o múltiples (según el modelo).

QNAP es una de las empresas multinacionales más grandes y populares, con sede en Taiwán, especializada precisamente en soluciones NAS comerciales para particulares y empresas de diferentes y múltiples tamaños.

BleepingComputer informó sobre una quincena de víctimas del ataque del ransomware DeadBolt, analizándolas para demostrar que no existe una región específica tomada como objetivo. El ataque está dirigido a los dispositivos NAS de QNAP en todo el mundo, en relación con su colosal propagación. 

De hecho, hay unos 320.000 dispositivos NAS conectados a la Red, potencialmente expuestos, con todo tipo de datos en su interior, desde datos personales a corporativos. Las soluciones de QNAP, de hecho, son especialmente apreciadas también por las PYMES que necesitan centralizar el almacenamiento de documentos producidos a lo largo del tiempo.

Estas cifras ayudan a comprender la dimensión del problema, sin pensar que se trata de una gran multinacional alejada de nuestra vida cotidiana.

Medidas de mitigación del ransomware DeadBolt

Los ataques DeadBolt, como todos los demás ataques de ransomware contra dispositivos QNAP, solo afectan a las máquinas conectadas a Internet. Dado que los actores de la amenaza afirman utilizar una vulnerabilidad de día cero, se recomienda encarecidamente a todos los clientes de QNAP que desconecten sus dispositivos de Internet y los protejan con un cortafuegos. Dado que los propietarios legítimos de QNAP pueden ser objetivo de otras dos familias de ransomware, Qlocker (aislado hace unas semanas) y eCh0raix (del pasado diciembre), es una buena práctica instar a todos los propietarios a seguir algunas medidas preventivas para evitar futuros ataques.

Evaluación meditada del acceso a Internet de nuestro dispositivo

Entre las medidas recomendadas por QNAP para evitar este tipo de ataques se encuentra la evaluación meditada del acceso a Internet de nuestro dispositivo. ¿Necesita estar expuesto a la Red? Limitar o inhibir su acceso parece la mejor forma de mitigar el problema. Sin embargo, cuando la exposición a Internet sea necesaria, hay que asegurarse de que el reenvío de puertos del router a nuestro NAS (normalmente los puertos 8080 y 443 por defecto) esté desactivado; hay que desactivar también la función UPnP del NAS de QNAP.

Ciertamente, QNAP es, como se ha comprobado a lo largo del tiempo, un blanco muy codiciado por los ataques de este tipo: al menos una vez al mes, se encuentra una variante de ransomware o una vulnerabilidad que se fija en estos productos NAS, lo que podría comprometer su contenido, pero también es la empresa más al día en este sentido.

Hay actualizaciones constantes, con frecuentes correcciones periódicas de seguridad, como rara vez ocurre en los sistemas de almacenamiento compartido. Esto lleva a la empresa a mantener esta página constantemente actualizada sobre las alertas detectadas, que, en el último año, han acumulado 181 avisos cada una, completos con las mitigaciones oportunas.

Por Dario Fadda

Artículo publicado originalmente en 17 Abr 2023

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Artículos relacionados

Artículo 1 de 5