El pasado lunes, 19 de abril, la marca de servidores NAS (Sistema de Almacenamiento conectado en Red), QNAP, sufrió una serie de ciberataques de ransomware denominados Qlocker.
Aprovechando la vulnerabilidad crítica de los servidores llamados CVE-2020-36195, que consiste en un fallo crítico de inyección SQL. Un lenguaje de dominio específico utilizado en programación, diseñado para administrar y recuperar información de sistemas de gestión de bases de datos, que afecta a estas NAS, ejecutando la consola multimedia o la aplicación Media Streaming.
¿En qué consisten los ciberataques a los servidores de red de QNAP?
El ataque consiste en comprimir los archivos de estos dispositivos para cifrarlos en archivos 7-zip aprovechando la vulnerabilidad existente en el propio sistema del servidor. Después de cifrar los archivos, aparece un archivo de texto, llamado READ_ME.txt, en el que se explica la situación del usuario indicándole que sus archivos están cifrados con una clave y con un mensaje diciendo: «¡¡¡Todos tus archivos han sido cifrados!!!”. A cambio de conocer la clave, hay que pagar un rescate de alrededor de 500 euros en Bitcoin a través de una web dentro de la red Tor.
Para solucionar temporalmente este problema, la propia compañía ha explicado, mediante un comunicado en su página web, que insta encarecidamente a todos los usuarios a que “instalen inmediatamente la última versión de Malware Remover y ejecuten un análisis de malware en el NAS de QNAP. Asimismo, las aplicaciones Multimedia Console, Media Streaming Add-on, e Hybrid Backup Sync deben actualizarse a la última versión disponible”.
También ha instado que “que modifiquen el puerto de red predeterminado 8080 para acceder a la interfaz operativa del NAS. Los datos almacenados en el NAS deben respaldarse o respaldarse nuevamente utilizando la regla de respaldo 3-2-1, para garantizar aún más la integridad y seguridad de los datos”.
Los usuarios afectados, aun pagando el rescate y actualizando la NAS, no podrán recuperar sus archivos. Desde la propia compañía están trabajando en encontrar una solución intentando acceder al contenido sin necesidad de pagar el rescate.
Consejos para proteger tu NAS
Aparte de la soluciones temporales citadas anteriormente, vamos a dar unos sencillos consejos para proteger tu NAS:
- Deshabilitar el UPnP en el router (si no lo permite, hacerlo desde el NAS).
- Abrir en el router solamente los puertos necesarios y no abrir el puerto de administración vía HTTP o HTTPS.
- Cambiar los puertos por defecto de los servicios.
- No usar el DDNS “myqnapcloud”.
- Usar contraseñas robustas.
- Mantener actualizado el sistema operativo del NAS.
- Comprobar los logs de acceso con QuLog Center.
- Activar el firewall básico de QNAP para proteger el acceso por IP y la cuenta.
- Desactivar el usuario “admin”.
Daniel Francisco
