AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Ransomware amplía su alcance: ahora ataca copias de seguridad domésticas en NAS y almacenamiento en la nube

admin

#### 1. Introducción

En los últimos años, el ransomware ha evolucionado de forma notable, pasando de ataques dirigidos principalmente a empresas y grandes organizaciones, a centrarse cada vez más en usuarios domésticos. Una tendencia preocupante es el incremento de campañas maliciosas que apuntan directamente a las copias de seguridad personales almacenadas en dispositivos NAS, servicios de almacenamiento en la nube y discos duros externos. Este cambio en la estrategia de los ciberdelincuentes pone en jaque la última línea de defensa de los usuarios: sus copias de seguridad, donde suelen resguardar fotos familiares, documentos importantes y otros archivos críticos.

#### 2. Contexto del Incidente o Vulnerabilidad

Tradicionalmente, los ciberdelincuentes han priorizado el cifrado de los datos almacenados en discos locales, exigiendo un rescate a cambio de la clave de descifrado. Sin embargo, la proliferación de soluciones de backup domésticas —como dispositivos NAS de marcas populares (Synology, QNAP, WD My Cloud) y plataformas cloud (Google Drive, Microsoft OneDrive, Dropbox)— ha motivado a los atacantes a expandir sus vectores, buscando maximizar el impacto y las probabilidades de cobro. Los usuarios, confiados en la seguridad de sus backups, están descubriendo que sus copias tampoco son inmunes, lo que incrementa la presión para pagar el rescate.

#### 3. Detalles Técnicos

Las familias de ransomware más recientes, como Deadbolt, eCh0raix y Qlocker, han implementado rutinas específicas para localizar y cifrar volúmenes de backup. Estas variantes explotan vulnerabilidades conocidas en firmware de dispositivos NAS (por ejemplo, CVE-2021-28799 en QNAP o CVE-2022-23121 en Synology), y aprovechan credenciales débiles o exposiciones de puertos SMB/FTP abiertos a Internet.

**Vectores de ataque y TTPs (MITRE ATT&CK):**
– **Initial Access (T1190):** Explotación de vulnerabilidades en servicios accesibles desde Internet.
– **Credential Access (T1110):** Fuerza bruta o uso de credenciales por defecto.
– **Lateral Movement (T1021.002):** Acceso a recursos en red, como carpetas compartidas o unidades mapeadas.
– **Impact (T1486):** Cifrado de datos, incluyendo backups locales y remotos.

**Indicadores de Compromiso (IoC):**
– Comunicaciones C2 hacia dominios y direcciones IP asociados a familias de ransomware.
– Archivos renombrados con extensiones como .deadbolt, .locked o .enc.
– Presencia de scripts automatizados para eliminar instantáneas de backup (shadow copies).

En cuanto al almacenamiento en la nube, los atacantes utilizan credenciales robadas mediante phishing o malware, automatizando el acceso mediante APIs públicas o herramientas legítimas (rclone, Cyberduck) para cifrar o eliminar archivos y versiones previas.

#### 4. Impacto y Riesgos

El impacto de estos ataques es significativo. Según un estudio de Kaspersky, en 2023 se detectó un aumento del 57% en infecciones de ransomware que afectaban a dispositivos NAS domésticos. El coste medio de un rescate para usuarios particulares se sitúa entre 400 y 1.200 euros, sin garantías de recuperación de los datos, y un 30% de las víctimas acaban perdiendo permanentemente archivos irremplazables.

El cifrado o borrado de copias de seguridad anula la estrategia tradicional de recuperación ante ransomware, incrementando la presión psicológica y financiera sobre la víctima.

#### 5. Medidas de Mitigación y Recomendaciones

Para reducir el riesgo de comprometer las copias de seguridad domésticas, se recomienda:

– **Actualizar firmware y software** de dispositivos NAS y clientes cloud.
– **Deshabilitar el acceso remoto innecesario** y emplear VPN para conexiones externas.
– **Configurar autenticación multifactor (MFA)** en todas las cuentas de almacenamiento en la nube.
– **Usar contraseñas fuertes y únicas**, evitando credenciales por defecto.
– **Separar físicamente las copias de seguridad** (backup offline o desconectado).
– **Implementar versiones inmutables** o snapshots protegidos contra escritura y borrado.
– **Revisar logs y alertas** de accesos sospechosos.
– **Cifrar los backups** antes de almacenarlos en la nube.

#### 6. Opinión de Expertos

Especialistas del sector, como David Emm (Kaspersky) y Mikko Hyppönen (WithSecure), advierten que “la exposición de backups a Internet, combinada con la falta de MFA y la reutilización de contraseñas, multiplica las posibilidades de éxito para los atacantes”. Recomiendan estrategias 3-2-1 reforzadas, con al menos una copia offline y verificación periódica de la integridad de los backups.

#### 7. Implicaciones para Empresas y Usuarios

Aunque esta tendencia afecta principalmente a usuarios domésticos, las pymes y organizaciones con infraestructuras híbridas también están en riesgo. La regulación europea (GDPR, NIS2) exige garantías sobre la disponibilidad y resiliencia de los datos personales, lo que incluye la protección de las copias de seguridad. Un incidente de ransomware que afecte a backups puede derivar en sanciones económicas y pérdida de confianza.

#### 8. Conclusiones

El ransomware dirigido a copias de seguridad domésticas representa una amenaza creciente y sofisticada, que obliga a usuarios y empresas a replantearse sus estrategias de backup. La actualización constante, la segmentación de redes, la autenticación robusta y el uso de copias offline/inmutables se perfilan como los pilares esenciales para una defensa eficaz frente a este tipo de amenazas.

(Fuente: www.kaspersky.com)