Synology fabricante de NAS con sede en Taiwán, advirtió a sus clientes que la botnet StealthWorker está apuntando a sus dispositivos de almacenamiento conectados a la red en ataques continuos de fuerza bruta que conducen a infecciones de ransomware.
Según el PSIRT (Equipo de respuesta a incidentes de seguridad de productos) de Synology, los dispositivos Synology NAS comprometidos en estos ataques se utilizan posteriormente en nuevos intentos de violar más sistemas Linux.
"Estos ataques aprovechan varios dispositivos ya infectados para intentar adivinar las credenciales administrativas comunes y, si tienen éxito, accederán al sistema para instalar su carga útil maliciosa, que puede incluir ransomware", dijo Synology en un aviso de seguridad .
"Los dispositivos infectados pueden llevar a cabo ataques adicionales en otros dispositivos basados en Linux, incluido Synology NAS".
La compañía se está coordinando con varias organizaciones CERT en todo el mundo para derribar la infraestructura de la botnet cerrando todos los servidores de comando y control (C2) detectados.
Synology está trabajando para notificar a todos los clientes potencialmente afectados sobre estos ataques en curso dirigidos a sus dispositivos NAS.
Cómo defenderse de estos ataques
El fabricante de NAS insta a todos los administradores de sistemas y clientes a cambiar las credenciales administrativas débiles en sus sistemas, habilitar la protección de la cuenta y el bloqueo automático, y configurar la autenticación multifactor cuando sea posible.
Synology rara vez emite avisos de seguridad que advierten de ataques activos contra sus clientes. La última alerta sobre infecciones de ransomware luego de exitosos ataques de fuerza bruta a gran escala se publicó en julio de 2019.
La compañía recomendó a los usuarios que revisaran la siguiente lista de verificación para defender sus dispositivos NAS contra ataques:
- Utilice una contraseña compleja y segura, y aplique reglas de seguridad de la contraseña a todos los usuarios.
- Cree una nueva cuenta en el grupo de administradores y desactive la cuenta "admin" predeterminada del sistema.
- Habilite Bloqueo automático en el Panel de control para bloquear direcciones IP con demasiados intentos de inicio de sesión fallidos.
- Ejecute Security Advisor para asegurarse de que no haya una contraseña débil en el sistema.
"Para garantizar la seguridad de su Synology NAS, le recomendamos encarecidamente que habilite el Firewall en el Panel de control y solo permita puertos públicos para los servicios cuando sea necesario, y habilite la verificación en dos pasos para evitar intentos de inicio de sesión no autorizados", agregó la compañía.
"Es posible que también desee habilitar Snapshot para mantener su NAS inmune al ransomware basado en cifrado".
Synology proporciona más información sobre cómo defender su dispositivo NAS contra infecciones de ransomware.
Malware de fuerza bruta dirigido a máquinas Windows y Linux
Si bien Synology no compartió más información sobre el malware que se usa en esta campaña, los detalles compartidos se alinean con una fuerza bruta basada en Golang descubierto por Malwarebytes a fines de febrero de 2019 y apodado StealthWorker.
Hace dos años, StealthWorker se utilizó para comprometer sitios web de comercio electrónico al explotar las vulnerabilidades de Magento, phpMyAdmin y cPanel para implementar skimmers diseñados para exfiltrar información personal y de pago.
Sin embargo, como señaló Malwarebytes en ese momento, el malware también tiene capacidades de fuerza bruta que le permiten iniciar sesión en dispositivos expuestos a Internet utilizando contraseñas generadas en el lugar o de listas de credenciales previamente comprometidas.
A partir de marzo de 2019, los operadores de StealthWorker cambiaron a un enfoque de solo fuerza bruta para escanear Internet en busca de hosts vulnerables con credenciales débiles o predeterminadas.
Una vez implementado en una máquina comprometida, el malware crea tareas programadas tanto en Windows como en Linux para ganar persistencia y, como Synology advirtió, implementa cargas útiles de malware de segunda etapa, incluido el ransomware.
Si bien el fabricante de NAS no emitió un aviso de seguridad, los clientes informaron en enero que tenían sus dispositivos infectados con el malware de criptojacking Dovecat Bitcoin a partir de noviembre de 2020, en una campaña que también estaba dirigida a los dispositivos NAS de QNAP .
Un portavoz de Synology no estuvo disponible para hacer comentarios cuando BleepingComputer lo contactó hoy para obtener detalles adicionales sobre estos ataques.
Fecha actualización el 2021-08-11. Fecha publicación el 2021-08-11. Categoria: malware Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer