Los ciberdelincuentes borran miles de dispositivos WD NAS mediante la ejecución remota de código
Una vulnerabilidad de día cero sin parche permitió a los piratas informáticos activar un restablecimiento de fábrica en miles de dispositivos NAS de Western Digital. Como resultado, los propietarios de My Book Live y My Book Live DUO perdieron todos sus datos almacenados. Según los informes, la eliminación se produjo después de que los delincuentes en juego establecieron con éxito conexiones directas o indirectas (a través de reenvío de puertos) a cada dispositivo afectado utilizando una multitud de direcciones IP elegidas al azar en todo el mundo. Si bien los funcionarios de Western Digital están investigando el problema actualmente, han dejado en claro que el ataque no mostró signos de haberse extendido a través de su entorno basado en la nube, firmware o servidores de datos de clientes. Sin embargo, han recomendado a todos los propietarios de NAS My Book Live y My Book Live Duo que desconecten sus dispositivos de la Web hasta que se publique un parche.
Tabla de contenido
Conexión potencial a un viejo defecto
El firmware de los dispositivos NAS de WD no ha recibido ninguna actualización desde 2015. Tres años después, una banda cibernética supuestamente encontró un agujero de seguridad que permitía la ejecución remota de código en cualquier dispositivo NAS My Book Live y My Book Live Duo en línea. Los investigadores de Western Digital sospechan que los actores del malware probablemente escanearon la Web en busca de dispositivos periféricos vulnerables y encontraron las direcciones IP de muchos dispositivos My Book Live y My Book Live Duo.
Archivado bajo CVE-2018-18472, el agujero de seguridad se está sometiendo actualmente a un nuevo análisis para ver qué otros daños podría ocasionar si lo explotan las personas equivocadas.
Recuperación de datos para un éxito mixto
Si bien algunos de los propietarios de WD NAS afectados han utilizado con éxito herramientas de recuperación de datos como PhotoRec para recuperar partes de sus datos, otros aún no han disfrutado de tal éxito. El fabricante estadounidense de unidades de datos está probando actualmente varias herramientas de recuperación de datos para ver qué funciona y qué no. Todavía tenemos que ver qué tan efectivo puede resultar un software alternativo de recuperación de datos. Hasta entonces, parece probable que las perspectivas de una recuperación completa de los datos sigan siendo, en el mejor de los casos, sombrías.
Sin nota de rescate
A pesar de que miles de propietarios de NAS han sufrido una pérdida total de datos, nadie ha recibido una nota de rescate, lo que implica que el atacante puede haber querido privar a las víctimas de sus archivos solo por el simple hecho de hacerlo. Western Digital tampoco ha informado de ningún rescate requerido. Sin embargo, la amenaza es real y el daño es un hecho. Además, la pérdida de datos se produjo a pesar de que todos los dispositivos WD NAS afectados utilizan un firewall y canales de comunicación seguros basados en la nube.
Incidentes como este subrayan la necesidad de un enfoque múltiple cuando se trata de almacenamiento de datos. Es posible que el uso de un solo medio, ya sea basado en la nube o no, ya no proporcione lo suficiente para evitar posibles pérdidas en el futuro. Es por eso que recomendamos realizar copias de seguridad periódicas en varios medios en línea y fuera de línea para reducir al mínimo el riesgo de pérdida de datos.