Sí, el ransomware es sigue siendo una cosa.
No, no todos los ataques de ransomware se desarrollan de la manera esperada.
La mayoría de los ataques de ransomware contemporáneos involucran a dos grupos de delincuentes: una pandilla central que crea el malware y maneja los pagos de extorsión, y "miembros" de un clan poco estructurado de "afiliados" que ingresan activamente a las redes para llevar a cabo los ataques.
Una vez que están dentro, los afiliados deambulan por la red de la víctima, entendiendo el terreno por un tiempo, antes de codificar de manera abrupta y a menudo devastadora tantas computadoras como pueden, lo más rápido que pueden, generalmente en el peor momento posible. de dia.
Los afiliados normalmente se embolsan el 70 % del dinero del chantaje por cualquier ataque que realicen, mientras que los principales delincuentes se quedan con el 30 %, como iTunes, de cada ataque realizado por cada afiliado, sin necesidad de entrar en las computadoras de nadie.
De todos modos, así es como ocurren la mayoría de los ataques de malware.
Pero los lectores habituales de Naked Security sabrán que algunas víctimas, en particular los usuarios domésticos y las pequeñas empresas, terminan recibiendo chantajeado a través de su NASo almacenamiento adjunto en red dispositivos.
Almacenamiento en red plug-and-play
Las cajas NAS, como se las conoce coloquialmente, son servidores preconfigurados en miniatura, generalmente con Linux, que generalmente se conectan directamente a su enrutador y luego actúan como servidores de archivos simples y rápidos para todos en la red.
No es necesario comprar licencias de Windows, configurar Active Directory, aprender a administrar Linux, instalar Samba o familiarizarse con CIFS y otros arcanos del sistema de archivos de red.
Las cajas NAS son almacenamiento conectado a la red "plug-and-play" y son populares precisamente por la facilidad con que puede hacer que se ejecuten en su LAN.
Sin embargo, como puede imaginar, en la era actual centrada en la nube, muchos usuarios de NAS terminan abriendo sus servidores a Internet, a menudo por accidente, aunque a veces a propósito, con resultados potencialmente peligrosos.
En particular, si se puede acceder a un dispositivo NAS desde la Internet pública y el software o firmware incorporado en el dispositivo NAS contiene una vulnerabilidad explotable, podría estar en serios problemas.
Los ladrones no solo podían huir con los datos de su trofeo, sin necesidad de tocar ninguna de las computadoras portátiles o teléfonos móviles en su red, sino también modificar todos los datos en su caja NAS...
…incluso reescribiendo directamente todos sus archivos originales con equivalentes encriptados, solo los ladrones conocen la clave para descifrar.
En pocas palabras, los atacantes de ransomware con acceso directo a la caja NAS en su LAN podrían descarrilar casi toda su vida digital y luego chantajearlo directamente, simplemente accediendo a su dispositivo NAS y sin tocar nada más en la red.
El infame ransomware DEADBOLT
Así es exactamente como el infame Ladrones ransomware DEADBOLT funcionar.
No se molestan en atacar ordenadores con Windows, portátiles Mac, teléfonos móviles o tabletas; simplemente van directamente a su repositorio principal de datos.
(Probablemente apague, "duerme" o bloquee la mayoría de sus dispositivos por la noche, pero su caja NAS probablemente funcione silenciosamente las 24 horas del día, todos los días, al igual que su enrutador).
Al enfocarse en las vulnerabilidades de los productos del conocido proveedor de NAS QNAP, la pandilla DEADBOLT tiene como objetivo bloquear a todos los demás en su red fuera de su vida digital y luego exprimirlo por varios miles de dólares para "recuperar" sus datos.
Después de un ataque, la próxima vez que intente descargar un archivo desde la caja del NAS o configurarlo a través de su interfaz web, es posible que vea algo como esto:
En un ataque DEADBOLT típico, no hay negociación por correo electrónico o mensajería instantánea: los delincuentes son francos y directos, como se ve arriba.
De hecho, generalmente nunca interactúas con ellos usando palabras.
Si no tiene otra forma de recuperar sus archivos codificados, como una copia de seguridad que no está almacenada en línea, y se ve obligado a pagar para recuperar sus archivos, los delincuentes esperan que simplemente les envíe el dinero. una transacción de criptomonedas.
La llegada de sus bitcoins a su billetera sirve como su "mensaje" para ellos.
A cambio, te “pagan” la suma principesca de nada, siendo este “reembolso” la suma total de su comunicación contigo.
Este "reembolso" es un pago que vale $ 0, enviado simplemente como una forma de incluir un comentario de transacción de bitcoin.
Ese comentario está codificado como 32 caracteres hexadecimales, que representan 16 bytes sin formato, o 128 bits, la longitud de la clave de descifrado AES que utilizará para recuperar sus datos:
El variante CERROJO La imagen de arriba incluso incluía una burla incorporada a QNAP, ofreciendo vender a la compañía una "clave de descifrado de talla única" que funcionaría en cualquier dispositivo afectado:
Presumiblemente, los delincuentes anteriores esperaban que QNAP se sintiera lo suficientemente culpable por exponer a sus clientes a una vulnerabilidad de día cero que pagaría BTC 50 (actualmente alrededor de $ 1,000,000 [2022-09-07T16: 15Z]) para sacar a todos del apuro. , en lugar de que cada víctima pague BTC 0.3 (alrededor de $ 6000 ahora) individualmente.
DEADBOLT se levanta de nuevo
QNAP acaba de informar que DEADBOLT es haciendo las rondas de nuevo, y los delincuentes ahora explotan una vulnerabilidad en una característica del NAS de QNAP llamada Photo Station.
QNAP ha publicado un parche y, comprensiblemente, insta a sus clientes a asegurarse de que se han actualizado.
¿Qué hacer?
Si tiene un producto NAS de QNAP en cualquier parte de su red y está utilizando el Photo Station componente de software, puede estar en riesgo.
QNAP consejos :
- Consigue el parche. A través de su navegador web, inicie sesión en el panel de control de QNAP en el dispositivo y elija Panel de Control > System > actualización de firmware > Actualización en vivo > Buscar actualizaciones. También actualice las aplicaciones en su dispositivo NAS usando Centro de Aplicaciones > Instalar actualizaciones > Todos.
- Bloquee el reenvío de puertos en su enrutador si no lo necesita. Esto ayuda a evitar que el tráfico de Internet "atraviese" su enrutador para conectarse e iniciar sesión en computadoras y servidores dentro de su LAN.
- Apague Universal Plug and Play (uPnP) en su enrutador y en las opciones de su NAS si puede. La función principal de uPnP es facilitar que las computadoras en su red ubiquen servicios útiles como cajas NAS, impresoras y más. Desafortunadamente, upnP a menudo también hace que sea peligrosamente fácil (o incluso automático) que las aplicaciones dentro de su red abran el acceso a usuarios fuera de su red por error.
- Lea los consejos específicos de QNAP sobre cómo asegurar el acceso remoto a su caja NAS si realmente necesita habilitarlo. Aprenda a restringir el acceso remoto solo a usuarios cuidadosamente designados.
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Cerrojo
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- Seguridad desnuda
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- QNAP
- ransomware
- VPN
- seguridad del sitio web
- zephyrnet
