Nueva variante del ransomware Ech0raix estaría atacando equipos QNAP

Estos días se están activando las alertas en los círculos de usuarios de QNAP tras detectarse una nueva campaña de ransomware de una variante de Ech0raix que afectaría a sistemas de este fabricante de nuevo, con la preocupación que todavía no se ha identificado el vector de ataque que usa este "bicho" o al menos QNAP no ha facilitado todavía datos concretos, por lo que debemos basarnos en reglas básicas de seguridad para que nuestros datos no se vean comprometidos, entre las que podríamos mencionar de forma rápida algunas como:

• Siempre que sea posible, que nuestro NAS no esté expuesto a internet o abrir únicamente los puertos imprescindibles.
• Tener la cuenta Admin deshabilitada y usar otra con privilegios creada manualmente.
• Usar accesos a través de VPN si necesitamos acceder desde fuera de nuestra red local.
• Usar puertos diferentes al 443 y 8080 para los accesos de gestión de nuestro QNAP.
• Por supuesto estar al día en cuanto a actualizaciones y parcheado del sistema operativo QTS.
• Uso de contraseñas seguras para nuestras cuentas de usuario y administrativas.
• P Access Protection habilitado
• Reglas de Firewall para denegar tráfico desconocido, especialmente aquellos orígenes fuera de tu país.
• Tener deshabilitado el protocolo UPnP en routers y equipos, al igual que servicios tipo SSH (abrirlo solo cuando necesitemos usarlos).

En el pasado Ech0raix explotó aparentemente una vulnerabilidad de Photo Station de QNAP, esperemos todos una actualización o instrucciones más detalladas por parte de QNAP pero por el momento hay que extremar precauciones. Además este ransomware oficialmente ataca también a equipos Synology aunque por el momento no hay constancia que esta nueva variante, que estaría actuando desde el día 8 de junio, haya afectado a sistemas de este segundo fabricante.

Leer más

Detectan una vulnerabilidad backdoor en varios dispositivos WD

Una vez más se ha detectado una vulnerabilidad grave en diferentes dispositivos de CloudOS de dispositivos NAs de Western Digital, concretamente los que funcionan con la versión de firmware 2.x (las versiones 04.x no están afectadas). Afortunadamente WD ya ha liberado la actualización que corrige el problema y se puede actualizar de forma automática o manual, siendo necesaria disponer de la 2.30.174 para estar a salvo del grave fallo de seguridad.

El fallo se resume en el mismo descubierto en sistemas DNS-320L de D-Link y que este fabricante parcheó en 2014 en su firmware 1.0.6 y que se centraba en la función multi_uploadify.php, posibilitando que un atacante subiese una petición usando el parámetro Filedat[0] y tuviese control sobre el NAS.

Los modelos afectados son los siguientes

MyCloud

MyCloudMirror

My Cloud Gen 2

My Cloud PR2100

My Cloud PR4100

My Cloud EX2 Ultra

My Cloud EX2

Mi Cloud EX4

My Cloud EX2100

My Cloud EX4100

My Cloud DL2100

My Cloud Cloud DL4100

A través de este link puedes verificar la versión de firmware de tu dispositivo y ver cómo actualizarlo en caso de ser vulnerable:

https://support.wdc.com/knowledgebase/answer.aspx?ID=10440#cloudos3

Fuente de la noticia aquí.

Leer más

Petya, Petwrap o NotPetya, el ransomware del mes

Ayer 27 de Junio entorno a las 13:00 comenzaron a caer varios sistemas en múltiples empresas, algunas por fallo crítico (encriptación de equipos) y otras por precaución ante infecciones puntuales, todo ello generando gran expectación por ser el gran ransomware después de WannaCry, y es que volvemos a suspender en temas de seguridad.

Desde grupos de Telegram veía comentarios de contactos donde varios equipos habían sido afectados, desde páginas de noticias se relataba como empresas, bancos y terminales de cajeros mostraban una pantalla solicitando el pago de 300$ en bitcoins para restablecer los datos, y es que seguimos tropezando con la misma piedra, sigue sin valorarse aspectos como seguridad o incluso respaldo de datos como medida de emergencia, priorizándose los ahorros en costes, pero resumamos qué ha hecho y cómo ha actuado este bicho.

¿Petya? ¿Petwrap? No, es una variante evolucionada bautizada como NotPetya.

Petya fue un ransomeware que surgió en marzo para aprovecharse de la misma vulnerabilidad EthernalBlue que se filtró del arsenal digital de la NSA americana, pero se han añadido algunas variaciones en su propagación.

¿Cómo entra NotPetya en la red local o corporativa?

El sistema parece que es el mismo usado por Petya, ingeniería social lo llaman, y es que se trata de un simple spam masivo enviando un correo de un supuesto candidato con un currículum y un par de fotos del mismo, robadas con total certeza pero que dejarán al pobre "héroe" en memoria de Google hasta la eternidad. 

La foto del falso candidato

Esta información era colgada en un enlace de dropbox con un autoejecutable que debería descomprimir el CV, también se comenta la posibilidad de existir un word con macros directamente colgado en esa nube personal, una vez descargado y ejecutaba comenzaba la fiesta.

La expansión una vez dentro de tu red

Al igual que WannaCry, NotPetya explotaba la vulnerabilidad CVE-2017-0144 y que fue parcheada en el boletín MS17-010, pero daba un paso más en la infección y añadía un segundo exploit badasado en otra vulnerabilidad marcada como CVE-2017-0145 y que fue corregida en el mismo boletín de MS.

Además de estos exploits este bicho gracias a una herramienta de dumping tipo LSADump o Mimikatz podía a credenciales que sirviesen en equipos remotos, los detectaba haciendo un barrido a través de los puertos TCP 139 y 445 y una vez localizados usaba PsExec o VMCI para la ejecución remota de código si conseguía el acceso.

La encriptación, el efecto inmediato sobre el equipo infectado

Tras una serie de comprobaciones de privilegios y ejecución el ransomware comenzaba la modificación del MBR del disco duro, no hacía una encriptación directa de los archivos si no que dejaba inutilizable el MBR normal y que provocaba la pérdida del indice y localización de ciertos ficheros, concretamente le interesaba la ubicación de las siguientes extensiones (la ubicación C:\Windows quedaba excluida del daño):

.3ds	.7z	.accdb	.ai
.asp	.aspx	.avhd	.back
.bak	.c	.cfg	.conf
.cpp	.cs	.ctl	.dbf
.disk	.djvu	.doc	.docx
.dwg	.eml	.fdb	.gz
.h	.hdd	.kdbx	.mail
.mdb	.msg	.nrg	.ora
.ost	.ova	.ovf	.pdf
.php	.pmf	.ppt	.pptx
.pst	.pvi	.py	.pyc
.rar	.rtf	.sln	.sql
.tar	.vbox	.vbs	.vcb
.vdi	.vfd	.vmc	.vmdk
.vmsd	.vmx	.vsdx	.vsv
.work	.xls	.xlsx	.xvd
.zip

Una vez completado el proceso se programaba el reinicio automático pasados los 10 minutos de la infección del equipo, tras el cual se vería un aparente pero falso proceso de comprobación de estado del disco (chkdsk).

Pasado este punto ya podíamos ver la famosa pantalla que se ha hecho viral desde ayer.

Aun así el sistema te permite el acceso a Windows, al menos en un modo bastante básico y por supuesto sin acceso a un volumen importante de los archivos.

No aprendemos la lección

La seguridad no es un añadido más, debe ser una prioridad en cualquier entorno personal y más profesional, y en los corporativos mejor ni hablamos, es una de las asignaturas suspendidas por muchas empresas de cualquier sector, pero debe ser complementado con la formación de los usuarios de tu negocio y siempre contar con un respaldo de cualquier dato que consideres relativamente importante o tenga un precio de horas o confidencialidad.

Más info en el techblog de MS.

Leer más

Presto File Server disponible oficialmente (Synology)

Presto File Server es una solución profesional (osea, de pago) que ofrece una alternativa al envío de datos entre un equipo cliente y un servidor Synology con la principal ventaja de ofrecer una mayor velocidad a lo que podemos estar acostumbrados como un transferencia tipo FTP y similares, por supuesto ofreciendo encriptación AES y posibilidad de verificación en dos pasos como ya viene siendo habitual.

Además la herramienta nos permite el acceso a una parte de reporting para que los administradores conozcan el uso de la plataforma de forma exhaustiva, además de tener clientes compatibles con Mac, Linux y Windows.

Tabla de precios según modalidades (por ancho de banda)

Synology ofrece una licencia de 30 día de prueba para ver el rendimiento real de esta nueva herramienta de alto rendimiento.

Preseto File Server está disponible para los equipos Synology adjuntos:

· Serie 17: FS3017, FS2017, RS4017xs+, RS18017xs+, RS3617xs+, RS3617xs, RS3617RPxs, DS3617xs, DS1817+, DS1517+

· Serie 16: RS18016xs+, RS2416+, RS2416RP+, DS916+, DS416play, DS716+II, DS716+, DS216+II, DS216+

· Serie 15: RC18015xs+, DS3615xs, DS2415+, DS1815+, DS1515+, RS815+, RS815RP+, DS415+

· Serie 14: RS3614xs+, RS3614xs, RS3614RPxs, RS2414+, RS2414RP+, RS814+, RS814RP+

· Serie 13: DS2413+, RS10613xs+, RS3413xs+, DS1813+, DS1513+, DS713+

· Serie 12: DS3612xs, RS3412xs, RS3412RPxs, RS2212+, RS2212RP+, DS1812+, DS1512+, RS812+, RS812RP+, DS412+, DS712+

· Serie 11: DS3611xs, DS2411+, RS3411xs, RS3411RPxs, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+

Más información en el link.

Leer más