Esta vez, es ‘Jaque mate’

QNAP Systems ha emitido un aviso advirtiendo a los clientes que los operadores de ransomware están apuntando a sus productos de almacenamiento conectado a la red (NAS) a través de los servicios Server Message Block (SMB) expuestos a la web.

La compañía taiwanesa dijo que recientemente se le llamó la atención sobre una nueva familia de ransomware conocida como Checkmate, con un análisis preliminar que indica que está apuntando a dispositivos NAS con servicios SMB expuestos a Internet. SMB es un protocolo de comunicación que se utiliza para proporcionar acceso compartido a archivos entre nodos en una red de sistemas.

Sin embargo, los operadores del ransomware Checkmate aparentemente no están explotando ninguna vulnerabilidad en los productos de QNAP. Más bien, están aprovechando al máximo las configuraciones de red mal configuradas y las contraseñas débiles y fáciles de adivinar a través de una técnica simple conocida como ataque de diccionario.

“La investigación preliminar indica que Checkmate ataca a través de servicios SMB expuestos a Internet y emplea un ataque de diccionario para romper cuentas con contraseñas débiles”, se lee en el aviso . “Una vez que el atacante inicia sesión con éxito en un dispositivo, cifra los datos en carpetas compartidas y deja una nota de rescate con el nombre de archivo «!CHECKMATE_DECRYPTION_README» en cada carpeta».

Las víctimas comparten sus historias en el foro BleepingComputer . Las notas de rescate pueden variar según los datos de cada víctima, pero según el iniciador del foro «sikich», la demanda de rescate fue de $ 15,000. No está claro si los operadores de Checkmate están ajustando sus demandas en función del valor de los datos cifrados/robados, pero no sería una sorpresa que lo hicieran, ya que esta práctica es bastante común entre los operativos de ransomware.

La nota de rescate compartida por ‘sikich’ se reproduce a continuación:

Fuiste hackeado por el equipo de CHECKMATE.

Todos sus datos han sido encriptados, las copias de seguridad han sido eliminadas.

Su identificación única: bc75c72[editado]

Puede restaurar los datos pagándonos dinero.

Hemos encriptado 267183 archivos de oficina.

Determinamos el monto del rescate a partir de la cantidad de archivos de oficina encriptados.

El costo del descifrado es de 15000 USD.

El pago se realiza a una billetera bitcoin única.

Antes de pagar, podrá asegurarse de que realmente podamos descifrar sus archivos.

Para esto:

1) Descargue e instale Telegram Messenger https://telegram.org/

2) Encuéntranos https://t.me/checkmate_team

3) Envíe un mensaje con su identificación única y 3 archivos para el descifrado de prueba. Los archivos no deben tener más de 15 mb cada uno.

4) En respuesta, enviaremos los archivos descifrados y una billetera bitcoin para el pago. La billetera Bitcoin es única para usted, por lo que podemos averiguar cuánto pagó.

5) Después de recibir el pago, le enviaremos la clave y el programa de descifrado.

QNAP dice que está «investigando a fondo el caso y proporcionará más información lo antes posible».

Se insta a los clientes a reducir la exposición de su NAS a Internet ajustando la configuración de su red en consecuencia. La compañía también instruye a los usuarios para asegurarse de que su firmware esté actualizado.

Aunque QNAP menciona claramente que las víctimas de este abuso tienen contraseñas débiles, la empresa no llega a recomendar que los usuarios cambien a contraseñas más seguras, lo que, por supuesto, deberían hacer .

Los usuarios de NAS de QNAP han sido blanco de una serie de ataques de ransomware en los últimos dos años, lo que llevó al proveedor a emitir varios avisos de este tipo , parches urgentes e incluso a extender el soporte para productos al final de su vida útil .

Fuente: Bitdefender