Los actores maliciosos detrás del ransomware eCh0raix han lanzado una nueva campaña destinada a infectar dispositivos de almacenamiento QNAP. El ransomware se dirige a servidores NAS vulnerables fabricados por QNAP Systems con sede en Taiwán, explotando vulnerabilidades conocidas o utilizando ataques de fuerza bruta.
El eCh0raix apareció por primera vez en el panorama de las amenazas en junio del año pasado, cuando lanzaron un ataque contra dispositivos QNAP NAS utilizando la primera versión de su malware. Desde el verano pasado, el grupo no ha estado muy activo, pero a principios de junio, Bleeping Computer observó un aumento en el número de víctimas que informaron infecciones por eCh0raix en sus foros.
Recientemente, QNAP emitió un aviso que describe tres vulnerabilidades (CVE-2018-19943, CVE-2018-19949 y CVE-2018-19953) que podrían ser explotadas por los atacantes para inyectar remotamente código malicioso o ejecutar comandos arbitrarios. Las fallas se corrigen en las siguientes versiones del sistema operativo QTS:
QTS 4.4.2.1270 compilación 20200410 y posterior
QTS 4.4.1.1261 compilación 20200330 y posterior
QTS 4.3.6.1263 compilación 20200330 y posterior
QTS 4.3.4.1282 compilación 20200408 y posterior
QTS 4.3.3.1252 compilación 20200409 y posterior
QTS 4.2.6 compilación 20200421 y posterior
Una vez que un dispositivo se ve comprometido, los atacantes implementan ransomware, que encripta los archivos almacenados en el dispositivo y muestra una nota de rescate que exige aproximadamente $ 500 en bitcoin para un descifrador.
Actualmente, no hay forma de recuperar archivos de forma gratuita. Sin embargo, los usuarios que han habilitado la función de instantánea basada en bloques de QNAP en el pasado pueden recuperar sus archivos mediante instantáneas.
