El ransomware Ech0raix ataca a los NAS de QNAP

Desde hace unos dias un nuevo peligro se cierne sobre los que usamos QNAP , en mi caso que tengo tres funcionando y online el tema es bastante preocupante , ha aparecido nuevo malware llamado DeadBolt dirigido contra los dispositivos NAS de QNAP. Se trata de un ransomware que cifra los datos de los usuarios y solicita un rescate de 0,03 Bitcoins para recuperarlos.

QNAP ha sacado un boletín de urgencia , pero si sigues todas sus recomendaciones básicamente dejas el NAS aislado del exterior y eso no es la forma idónea de funcionamiento de un NAS

https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-secure-qnap-nas

Se insta a todos los usuarios de QNAP a “actualizar QTS a la última versión disponible de inmediato” para bloquear los ataques entrantes de ransomware DeadBolt.

El fabricante del NAS también recomienda a los clientes que deshabiliten inmediatamente el reenvío de puertos en su enrutador y la función UPnP del NAS de QNAP mediante los siguientes pasos:

  • Deshabilite la función de reenvío de puertos del enrutador: Vaya a la interfaz de administración de su enrutador, verifique la configuración del Servidor virtual, NAT o Reenvío de puertos y deshabilite la configuración de reenvío de puertos del puerto del servicio de administración NAS (puerto 8080 y 433 por defecto).
  • Deshabilite la función UPnP del QNAP NAS: Vaya a myQNAPcloud en el menú QTS, haga clic en “Configuración automática del enrutador” y desmarque “Habilitar el reenvío de puertos UPnP”.

También puede usar esta guía paso a paso para deshabilitar las conexiones SSH y Telnet, cambiar el número de puerto del sistema y las contraseñas del dispositivo, y habilitar el acceso IP y la protección de la cuenta.

https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-secure-qnap-nas

Nota e instrucciones de rescate de DeadBolt

Algo que no dice QNAP y que a mi me esta funcionando bastante bien como medida extra es añadir en QuFirewall un par de reglas por GeoIP para que todo aquello que no venga de España o de otros paises que elijáis quede bloqueado , además de cambiar puertos por defecto a otros algo mas dificiles de localizar

Mas información en :

https://www.qnap.com/solution/ransomware/en/