Responde a los ataques de Ransomware: protege tu QNAP ante ataques del eCh0raix

9

En respuesta a reportes realizados por los usuarios de QNAP a la propia marca y a través de las redes sociales, se ha detectado una nueva variante de ransomware llamada eCh0raix. Éste "virus" tiene actualmente como objetivo los Servidores de almacenamiento de la marca y está tratando de infectarlos mediante ataques por fuerza bruta.

Como patrón se ha detectado que los equipos infectados tenían dos cosas en común, no habían actualizado en años la versión de QTS y se ha llegado a acceder tras cientos de intentos de rotura de la contraseña (ataque por fuerza bruta). eCh0raix puede cifrar un equipo completo en pocos segundos y al ser QNAP su objetivo, vamos a recomendar unos conceptos básicos de seguridad que harán que éste ransomware sea incapaz de infectar vuestros equipos.

  • Actualiza tu QNAP a la última versión estable de QTS.
  • Instala y actualiza Malware Remover a la última versión
  • Utiliza contraseñas seguras en tu sistema (1234, admin, 123456 etc no son contraseñas)
  • Habilita el control de acceso para proteger ante ataques por fuerza bruta.
  • Deshabilita el SSH y el Telnet en caso de que no lo utilices. (si lo usas cambia el puerto)
  • Evita en la medida de lo posible usar puertos por defecto para el acceso externo como el 443 o el 8080.

Ésto puede mejorar la seguridad de vuestro servidor NAS haciendo que eCh0raix no pueda llegar a vuestro equipo. QNAP está trabajando activamente en una solución para eliminar eCh0raix  de los equipos infectados.

Os dejamos unos mini tutoriales con las configuraciones recomendadas:

Actualiza tu QNAP a la última versión estable de QTS.

Para actualizar tu QNAP puedes acceder al Panel de control y hacer click en Actualización del Firmware

Screenshot_5

Una vez dentro le damos a buscar actualización y seguimos los pasos.

Screenshot_1

 

Instala y actualiza Malware Remover a la última versión

Accedemos al App Center desde el escritorio o desde el menú lateral.

Screenshot_2

Usando el buscador escribimos Malware y nos saldrá en los resultados. Hacemos click en Instalar y lo tendremos listo.

Screenshot_3

Utiliza contraseñas seguras en tu sistema (1234, admin, 123456 etc no son contraseñas)

Accediendo al Panel de control > Usuarios podremos cambiar las contraseñas de nuestros usuarios usando el botón marcado en la captura.

Screenshot_4

Habilita el control de acceso para proteger ante ataques por fuerza bruta.

Dentro de Panel de control > Seguridad podemos proteger nuestro NAS contra ataques en el menú de protección de acceso IP:

Screenshot_6

De esta forma en cuanto tengas cinco intentos en menos de 1 minuto, se bloqueará la IP para siempre.

Deshabilita el SSH y el Telnet en caso de que no lo utilices. (si lo usas cambia el puerto)

Para deshabilitar estos servicios tenemos que acceder a Panel de control > Telnet / SSH y deshabilitarlos. En caso de que los usemos aconsejamos cambiar el puerto. Screenshot_7

Evita en la medida de lo posible usar puertos por defecto para el acceso externo como el 443 o el 8080.

Dentro de Panel de control > Sistema >Configuración general podremos cambiar los puertos.

Screenshot_8

Con estos pasos, tu QNAP estará protegido ante ataques del eCh0raix. Os aconsejamos disponer de copias de seguridad de vuestros datos en remoto o disponer de un sistemas de copias de seguridad tipo 3.2.1 para aumentar la seguridad de vuestros datos más importantes.

Como aportación extra, tras las investigaciones realizadas por Qloudea, es muy posible que limitando el acceso a la IP 192.99.206.61:65000 ( la más bloqueada  en los equipos).

Screenshot_9

Otra de las cosas que podemos hacer es crear un usuario en el grupo de administradores con un nombre diferente y deshabilitar el admin temporalmente. De esta forma, los ataques serán mucho más complicados.

NOTA: si quieres saber si estás infectado, accede por SSH a tu equipo y busca la siguiente ruta /home/user/go/src/qnap_crypt_worker

9 Comentarios

  • Pablo Gil Andrés
    19 julio, 2019 en 19:25 Pablo Gil Andrés

    Trabajo para un operador de telecomunicaciones y siempre me sorprende ver cómo distintos integradores utilizan en los routers las funciones de redirección o publicación de puertos, o incluso la publicación de un host completo ("DMZ Host"), con una tranquilidad absoluta, para dispositivos NAS y también NVR (grabadores de videovigilancia).

    Creo que el mejor consejo que se puede dar, es no exponer ningún puerto de un NAS a Internet. Si se necesita acceder remotamente hay routers y firewalls con servidor VPN para todos los bolsillos y requisitos. Muy a menudo no son recomendados al cliente por la propia ignorancia y desidia del integrador.

    • David Aragón

      Para muchos de los servicios ofrecidos es necesario la publicación de los puertos en Internet. No todos los usuarios pueden hacer VPN o no todos los usuarios quieren usar una conexión que habitualmente es más lenta. Yo personalmente tengo expuesto el puerto 80 y el puerto de acceso remoto a mi NAS. El 80 es para mis webs personales y el de acceso remoto es por acceder con toda la velocidad posible. Esta "solución" es totalmente generalista. Yo personalmente no he sufrido ningún acceso no autorizado a mi NAS ni a mis ordenadores. Mi firewall está configurado para que solo se pueda acceder desde mis dispositivos a los servicios "sensibles" y cualquier intento de acceso externo por SSH o cosas similares es directamente bloqueado.

      • Pablo Gil Andrés
        24 julio, 2019 en 18:29 Pablo Gil Andrés

        Más que exigir la publicación de puertos yo diría que ciertos servicios ofrecidos por los NASes la soportan como método de simplificar el acceso, ya que estos servicios son habitualmente desarrollos realizados por el fabricante del NAS para simplificar la configuración de ciertas tareas y de ahí que también traten de simplificar el acceso remoto. Pero en cualquier caso, servicios como Qsync, la app Qmanager, etc. se pueden usar sobre VPN sin problema. La única "molestia" para el usuario es hacer un clic en su ordenador, tablet, etc. para conectar la VPN antes de comenzar a trabajar.

        La merma en velocidad al usar VPN está quedando desterrada. Ahora mismo hay routers muy asequibles con cifrado AES en hardware. En un entorno residencial está claro que la complejidad de configuración de la solución va a hacer que ni se considere y se recurra a la publicación de puertos, pero en un entorno profesional donde existe un responsable interno o externo para estas tareas no veo la necesidad de exponer puertos de un NAS ó NVR a Internet.

        Desde la perspectiva de un operador de telecomunicaciones le puedo comentar que nosotros sí hemos visto NASes y NVRs instalados en negocios de distinto tipo, con distintos puertos publicados en Internet, que han sido infectados y unidos a una botnet. Los hemos detectado cuando se han utilizado para participar en ataques DDOS y bien hemos detectado nosotros el patrón de tráfico anómalo, o bien hemos recibido el reporte de algún organismo, o bien el propio cliente se ha quejado creyendo que había una avería en su acceso a Internet al no poder disfrutar de su caudal de subida completamente ocupado por el ataque.

        A nivel particular, soy usuario de dos NASes QNAP, y utilizo VPN para acceder a ellos. La comunicación entre ellos se realiza también sobre VPN,

        • David Aragón

          Llevas razón en varios puntos. Nosotros tenemos muchos tutoriales de cómo crear VPN con QNAP y con Synology. Actualmente una de las mayores demandas de nuestros clientes para soporte técnico es que NO se apañan para configurar una VPN con QNAP o Synology ni si quiera teniendo tutoriales paso a paso. Hacemos muchas horas de soporte para ayudarles a configurarlas por eso en muchas ocasiones en las que se debería de aconsejar una VPN directamente obviamos. Como te dije en el otro comentario, yo no uso VPN ya... he dado el salto a ZeroTier que me parece increíble su integración y su seguridad. Sólo tengo redireccionado el puerto 80 para mis webs alojadas dentro de mi QNAP TS-1277-1600-64G :D

          • Pablo Gil Andrés
            28 julio, 2019 en 05:30 Pablo Gil Andrés

            Evidentemente, configurar una VPN incluso con un manual paso a paso puede quedar fuera del alcance de muchos usuarios, ya que cada cliente (cada red) es distinta y una mínima variación puede arruinar un manual paso-a-paso. Para mí, la única solución válida es que un profesional especialista en redes analice cada caso y provea la solución VPN más conveniente. Cosa que, por cierto, es lo que se hace en cualquier negocio en lo tocante a fontanería, aire acondicionado, persianas, muebles, automóviles ... no sé porqué estos asuntos de redes e informática siempre acaban en el "hágaselo usted mismo".

            Soluciones como ZeroTier hace muchos muchos años que de tanto en tanto aparece alguna nueva, básicamente siempre por el mismo motivo: tratar de simplificar la creación de un acceso VPN. Solventan el problema de la complejidad pero crean otro que es la dependencia de una plataforma determinada y la necesidad de soporte específico en los dispositivos que se desea acceder.

            Precisamente, uno de los puntos fuertes de una solución VPN basada en router/firewall es que permiten un acceso transparente y completo a la red remota, de forma que cualquier dispositivo en red se torna accesible de forma segura y sin tener que tener soporte específico para él: sistemas domóticos, impresoras/escáneres, ordenadores, cámaras, teléfonos IP, grabadores, NAS ...

            Estas soluciones son las que tienen la curva de aprendizaje más larga pero creo que las ventajas que aportan hacen que sean la mejor opción. Sé que mi opinión no es la más popular.

  • FRANCISCO

    Para aplicar esta rutina que aconsejan, tengo dos cuestiones:
    1. En la búsqueda de Malware Remover no me aparece dicha App.
    He entrado en una URL donde veo algo por donde avanzar, pero no aparece mi NAS, el TS-354A.

    2. Para la modificación de los puertos 8080 y 443, que son los que tengo en este momento habilitados. ¿Cuales otros recomiendan?

    A la espera, saludos.

    • David Aragón

      Para el 8080 puede usar el 9090 o el que quiera. Para el 443 si lo usa para HTTPS no creo que se pueda cambiar si necesita acceso externo a certificados o a web.

      Malware Remover tiene que salir ya que es compatible con el 100% de los NAS QNAP. revise todas las aplicaciones de su S.O. y mantengalo actualizado.

  • Jesús Polaino
    11 agosto, 2019 en 05:53 Jesús Polaino

    Prácticamente todas las recomendaciones dadas aquí ya las tengo aplicadas, pero mi preguntas es si hay alguna aplicación o web para comprobar que mi NAS está aislado de Internet.

    Por otro lado, el puerto 443 lo he modificado y en principio no he tenido ningún error. En qué casos podría producirse un error por haberlo modificado?
    Gracias por adelantado por su respuesta

    • Javier Sempere

      Hola Jesús,
      La mejor aplicación que puedes usar para comprobarlo es tu propio NAS, activa las notificaciones para que te mande un mail cuando traten de atacar tu dirección (si lo tienes bien configurado no te llegará ni uno)
      Otra utilidad web que puedes usar es un tester de puertos, este es el más fiable: https://ping.eu/port-chk/, si aparece como cerrado está todo bien.

      Los errores que recibirías por modificarlo no serían errores en si, mas bien problemas de configuración. La solución sería volver a configurar las carpetas o servicios online que tuvieras (servidor FTP, VPN, web, copia de seguridad remota, etc)

      un saludo, gracias por comentar.

Deja un comentario