Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
abril
(Total:
59
)
- 1,5 millones de contraseñas asociadas a correos de...
- Un argentino compró el dominio oficial de Google A...
- Vulnerabilidad en F5 BIG-IP en Kerberos Key Distri...
- Un error de Google permitía acceder a información ...
- Malware en MacOS gracias a una vulnerabilidad en G...
- Windows Defender bloqueará malware de minado de cr...
- Engañan a varios políticos europeos a través de vi...
- 250GB datos robados al Departamento de Policía Met...
- microCLAUDIA; vacuna contra el ransomware y otros ...
- Estudiante de Stanford encontró fallo en el sistem...
- ¿Qué es la MAC Address o dirección MAC Media?
- Oleada de ciberataques tumba las webs del INE, Jus...
- Actualizaciones de seguridad graves e importantes ...
- Microsoft presenta interfaz gráfica GUI de aplicac...
- Técnicas de ataque del ransomware Ryuk: víctimas; ...
- Rusia y su relación con el ransomware
- Herramientas para el análisis archivos de Microsof...
- Quanta, proveedor hardware de Apple, víctima del r...
- Mueren dos personas que circulaban en un Tesla sin...
- La Policía Española desmantela el primer taller il...
- Ataque Airstrike: bypass de BitLocker con escalada...
- Distribuyen malware en plantillas PDF maliciosos
- Estados Unidos sanciona direcciones de criptomoned...
- The Phone House España victima del grupo de ransom...
- Los Houston Rockets de la NBA, nueva victima del r...
- Hackean la web de Más Madrid y desvían 8.000 euros...
- Creador del Bitcoin, Satoshi Nakamoto, la 19ª pers...
- Informe del ransomware Clop
- Consejos para realizar copias de seguridad
- Error en WhatsApp permite desactivar y bloquear cu...
- Falsa oferta de trabajo de LinkedIn instala un tro...
- Troyano bancario IcedID: ¿el nuevo Emotet?
- ¿Qué es el "checksum" de un fichero bajado de inte...
- Ransomware: DoppelPaymer (BitPaymer)
- Finaliza concurso hacking Pwn2Own 2021
- journalctl; analizar logs del sistema en Linux
- Microsoft fabricará cascos de realidad aumentada p...
- Verifica si tu número de teléfono ha sido filtrado...
- Filtran información personal de 500 millones de us...
- ownCloud vs NextCloud crea tu propia nube personal
- XPEnology: el SO operativo DSM de Synology
- Alertan cheats contienen troyano en juegos como Ca...
- Monitorización Discos Duros HDD y unidades SSD con...
- Rendimiento memoria RAM DDR5 Vs DDR4
- Análisis ransomware Avaddon
- Detenido mafioso italiano tras ser reconocido en u...
- Asterisk: centralita Telefonía IP (VoIP) de código...
- Ejemplos útiles directivas de grupo de Windows 10
- Los números de teléfono y datos personales de 533 ...
- Completo Análisis del ransomware REvil (Sodinokibi)
- Usar Telegram cómo nube personal ilimitada
- Android envía 20 veces más datos a Google que iOS ...
- Hackearon 7 correos electrónicos de parlamentarios...
- Disponible distro hacking ético y pentester Parrot...
- Centro de Operaciones de Seguridad (SOC)
- Vulnerabilidades críticas en VMware vRealize Opera...
- Mes de la videovigilancia en Instant Byte: webinar...
- Google detuvo una operación antiterrorista en USA ...
- Proteger seguridad servidor NAS QNAP
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Actualizaciones de seguridad graves e importantes para QNAP: ransomware QLocker
Un ataque ransomware a QNAP está cifrando (mediante contraseña con 7-Zip) los NAS de los usuarios y pide un rescate para recuperar los archivos. QNAP elimina la cuenta de puerta trasera (backdoor) en la copia de seguridad del NAS, la aplicación de recuperación ante desastres. QNAP ha abordado una vulnerabilidad crítica que permite a los atacantes iniciar sesión en dispositivos NAS de QNAP (almacenamiento conectado a la red) utilizando credenciales "hardcodeadas". Ransomware Qlocker y eCh0raix. Piden rescate por valor de 0.01 Bitcoins
Ataque ransomware a QNAP está cifrando los NAS de los usuarios
La vulnerabilidad de credenciales "codificadas" de forma "rígida" rastreada como CVE-2021-28799 fue encontrada por ZUSO ART, con sede en Taiwán, en HBS 3 Hybrid Backup Sync, la solución de respaldo de datos y recuperación de desastres de la compañía.
La compañía dice que el error de seguridad ya está solucionado en las siguientes versiones de HBS y aconseja a los clientes que actualicen el software a la última versión lanzada:
- QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 y posterior
- QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 y posterior
- QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 y posterior
- QuTScloud c4.5.1 ~ c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 y posterior
QNAP recomienda encarecidamente a todos los usuarios a que instalen inmediatamente la última versión de Malware Remover y ejecuten un análisis de malware en el NAS de QNAP. Las aplicaciones Multimedia Console, Media Streaming Add-on, e Hybrid Backup Sync deben actualizarse a la última versión disponible para proteger aún más el NAS QNAP de los ataques de ransomware.
QNAP ha lanzado una versión actualizada de Malware Remover para sistemas operativos como QTS y QuTS hero para abordar el ataque de ransomware. Si los datos del usuario están encriptados o se están encriptando, el NAS no debe apagarse. Los usuarios deben ejecutar un escaneo de malware con la última versión de Malware Remover inmediatamente y luego comunicarse con el servicio de Soporte técnico de QNAP en https://service.qnap.com/.
Para los usuarios no afectados, se recomienda instalar inmediatamente la última versión de Malware Remover y ejecutar un escaneo de malware como medida de precaución. Todos los usuarios deben actualizar sus contraseñas por otras más seguras, y las aplicaciones Multimedia Console, Media Streaming Add-on, e Hybrid Backup Sync deben actualizarse a la última versión disponible.
Método 1
- Nos conectamos por SSH al servidor NAS como administrador, pinchamos en «Q» y posteriormente en «Y» para entrar por consola sin el asistente.
- Ejecutamos el comando «ps | grep 7z». Si no hay ningún proceso funcionando, o hemos reiniciado el NAS, malas noticias, no podremos recuperar la clave.
- Si el 7z está funcionando actualmente, debemos ejecutar el comando siguiente: cd /usr/local/sbin; printf ‘#!/bin/sh necho $@necho $@>>/mnt/HDA_ROOT/7z.lognsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
- Una vez ejecutado, esperamos unos minutos y ejecutamos el siguiente comando: cat /mnt/HDA_ROOT/7z.log
- En este log podremos ver un contenido similar a este: a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA]
- Esta clave en negrita es la contraseña con la que se está cifrando la información, y también con la que se debe descifrar la clave.
Método 2
- Instalamos el programa Malware Remover desde la App Center y escaneamos nuestro equipo.
- Nos conectamos por SSH al servidor NAS como administrador, pinchamos en «Q» y posteriormente en «Y» para entrar por consola sin el asistente.
- Ejecutamos el siguiente comando: cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
- Si la consola nos devuelve un mensaje de «No such file or directory» significa que no podemos hacer nada, el NAS se ha reiniciado o ya ha terminado el proceso de cifrado de los datos.
- Si no devuelve error, ejecutamos: cat /share/Public/7z.log. Y nos saldrá la clave en el mismo formato de antes: a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA]
Recuperar la contraseña del cifrado
- Conéctate por SSH al Nas
- Utiliza el comando
ps | grep 7z
- Si se está ejecutando 7z, usa el comando:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
- Espera unos minutos, puedes usar luego cat
cat /mnt/HDA_ROOT/7z.log
- aquí está el contraseña que han usado para cifrar los ficheros:
a -mx = 0 -sdel -pXXXXXXXXXXXX [RUTA DE CARPETA]
- donde XXXXXXXXXXXXX es la contraseña de 32 caracteres.
cd /share/Publicwget http://download.qnap.com/Storage/tsd/utility/7zcd /usr/local/sbinrm /usr/local/sbin/7zcp /share/Public/7z /usr/local/sbinchmod 755 /usr/local/sbin/7z
Para actualizar HBS en su dispositivo NAS, debe iniciar sesión en QTS o QuTS hero como administrador. A continuación, busque "HBS 3 Hybrid Backup Sync" en App Center y luego haga clic en Actualizar y Aceptar para actualizar la aplicación (la opción Actualizar no está disponible si HBS ya está actualizado).
Si bien QNAP publicó la seguridad anunciando que CVE-2021-28799 se corrigió hoy, las notas de la versión de la aplicación para la versión 16.0.0415 lo enumeran como arreglado hace casi una semana, el 16 de abril.
Un portavoz de QNAP dijo que la demora en la divulgación fue causada por el tiempo adicional necesario para lanzar parches para las versiones QuTS hero y QuTScloud HBS (la actualización de seguridad para QTS se lanzó hace seis días).
QNAP también agregó que su equipo PSIRT no ha encontrado evidencia de explotación activa de esta vulnerabilidad en la naturaleza.
El mismo día, QNAP corrigió otras dos vulnerabilidades de inyección de comandos de HBS, así como dos vulnerabilidades críticas más, un error de inyección de comandos en QTS y QuTS hero (CVE-2020-2509) y una vulnerabilidad de inyección SQL en la consola multimedia y la transmisión de medios. Complemento (CVE-2020-36195), que podría permitir a los atacantes obtener acceso completo a los dispositivos NAS.
Campaña de ransomware Qlocker en curso dirigida a los usuarios de QNAP
Errores de seguridad críticos como estos permiten que los actores de amenazas se apoderen de los dispositivos NAS y, en algunos casos, implementen ransomware para cifrar los archivos de los usuarios y pedir grandes rescates por un descifrador.
También se sabe que los actores de amenazas se apoderan de los dispositivos NAS y los utilizan para "proxy de su conexión para interactuar con las webshells que colocaron en estos dispositivos" y ocultar su actividad maliciosa dentro del tráfico de trabajo remoto regular, según CISA.
QNAP dijo que creen que una nueva cepa de ransomware conocida como Qlocker explota la vulnerabilidad de inyección SQL (CVE-2020-36195) para cifrar datos en dispositivos vulnerables.
Esto es precisamente lo que ha estado sucediendo desde al menos el 19 de abril, cuando los atacantes detrás de una campaña masiva que implementaba una nueva cepa de ransomware conocida como Qlocker comenzaron a mover los archivos de los clientes de QNAP en archivos 7zip protegidos con contraseña y solicitar un rescate.
Durante los últimos cuatro días ha experimentado una cantidad considerable de actividad, e ID-Ransomware ha registrado un aumento de las presentaciones de muestras de Qlocker por parte de las víctimas.
Qlocker no es el primer ransomware que se dirige a los dispositivos QNAP, dado que se utilizan comúnmente para almacenar archivos personales confidenciales y son la palanca perfecta para obligar a las víctimas a pagar un rescate para descifrar sus datos.
En junio de 2020, QNAP advirtió sobre los ataques de ransomware eCh0raix dirigidos a fallas de seguridad de la aplicación Photo Station.
eCh0raix (también conocido como QNAPCrypt) regresó un año después, tratando de obtener acceso a los dispositivos de QNAP mediante la explotación de vulnerabilidades conocidas y cuentas de fuerza bruta con contraseñas débiles.
QNAP también alertó a los clientes en septiembre de 2020 de una campaña de ransomware AgeLocker dirigida a dispositivos NAS expuestos públicamente mediante la explotación de versiones de Photo Station más antiguas y vulnerables.
Se recomienda a los clientes de QNAP que sigan el siguiente procedimiento para proteger sus dispositivos NAS y verificar si hay malware:
- Cambiar todas las contraseñas de todas las cuentas del dispositivo
- Eliminar cuentas de usuarios desconocidos del dispositivo
- Asegúrese de que el firmware del dispositivo esté actualizado y de que todas las aplicaciones también estén actualizadas
- Eliminar aplicaciones desconocidas o no utilizadas del dispositivo
- Instale la aplicación QNAP MalwareRemover a través de la funcionalidad del App Center
- Configure una lista de control de acceso para el dispositivo (Panel de control -> Seguridad -> Nivel de seguridad
!!! All your files have been encrypted !!!
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
To purchase your key and decrypt your files, please follow these steps:
1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".
2. Visit the following pages with the Tor Browser:
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
3. Enter your Client Key:
[client_key]
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.