Una banda de hackers está limpiando dispositivos NAS de Lenovo y solicitando rescates


LenovoEMC Iomega

Un grupo de piratas informáticos con el nombre de &#39Cl0ud Security&#39 está entrando en los viejos dispositivos de almacenamiento conectados a la crimson (NAS) LenovoEMC (anteriormente Iomega), borrando archivos y dejando notas de rescate pidiendo a los propietarios que paguen entre $ 200 y $ 275 para obtener sus datos espalda.

Los ataques han estado ocurriendo durante al menos un mes, según las entradas en BitcoinAbuse, un portal net donde los usuarios pueden informar las direcciones de Bitcoin abusadas en ransomware, extorsiones, delitos informáticos y otras estafas en línea.

Los ataques parecen haberse dirigido solo a dispositivos LenovoEMC / Iomega NAS que están exponiendo su interfaz de administración en Internet sin una contraseña.

ZDNet fue capaz de identificar alrededor de 1,000 dispositivos usando una búsqueda Shodan.

shodan.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/06/29/3954011c-7371-4e97-a341-efea8c10277c/shodan.png

Muchos de los dispositivos NAS que encontramos de esta manera contenían una nota de rescate llamada «RECUPERA TUS ARCHIVOS !!!!. Txt«.

Todas las notas de rescate fueron firmadas con el &#39Cl0ud Security&#39monicker y utilizó el mismo «cloud@mail2pay back.com«dirección de correo electrónico como punto de contacto.

nas-ransom-2.png "height =" auto "width =" 1200 "src =" https://zdnet4.cbsistatic.com/hub/i/r/2020/06/29/41bd7bf5-dd58-42a7-ad92 -757aecec5670 / redimensionar / 1200xauto / 2d56a81d4ddf70140563b8ca7d1d602c / nas-ransom-2.png

Imagen: ZDNet

Los recientes ataques registrados durante el último mes parecen ser una continuación de los ataques que comenzaron el año pasado, y que también se han dirigido exclusivamente a estaciones NAS LenovoEMC (anteriormente Iomega).

Si bien los ataques del año pasado no se firmaron y usaron un correo electrónico de contacto diferente, hay muchas similitudes entre los textos de las notas de rescate utilizados en 2019 y 2020 para creer que el mismo actor de amenaza está detrás de ambas oleadas de ataques.

En una llamada telefónica hoy, Victor Gevers, un investigador de seguridad con el Fundación GDI, dicho ZDNet ha estado rastreando los ataques durante años y que estas intrusiones recientes parecen ser obra de un hacker poco sofisticado.

Gevers dijo que los piratas informáticos no confiaron en una hazaña compleja, dispositivos dirigidos que ya estaban abiertos en World-wide-web, y no se molestaron en cifrar los datos.

Los piratas informáticos de Cl0ud Stability afirman haber copiado los archivos de la víctima en sus servidores y amenazaron con filtrar los archivos, generalmente si no se paga una nota de rescate dentro de los cinco días.

Sin embargo, no hay evidencia que sugiera que los datos hayan sido respaldados en ningún lado, ni que ningún dato de víctimas anteriores se haya filtrado en línea en ningún lugar durante el año pasado.

Según la evidencia precise, las notas de rescate parecen llevar amenazas vacías, y su papel parece ser asustar a las víctimas para que paguen una demanda de rescate por los piratas informáticos que ya han eliminado.

Gevers dijo ZDNet hoy, los ataques contra dispositivos NAS de LenovoEMC (Iomega en ese momento) no son nuevos y que investigó incidentes desde 1998.

Lenovo ha descontinuado las líneas NAS de LenovoEMC e Iomega en 2018, y la razón por la cual solo identificamos alrededor de 1,000 dispositivos aún expuestos en línea, ya que la mayoría de las estaciones NAS han alcanzado su EOL hace mucho tiempo y han sido desmanteladas por muchos usuarios.

Sin embargo, algunos dispositivos NAS todavía se están ejecutando y, por suerte, una página de soporte de Lenovo sobre cómo asegurar adecuadamente este tipo de dispositivos todavía está disponible en línea para los usuarios que buscan proteger sus datos.

Los ataques a dispositivos NAS de LenovoEMC / Iomega no son los primeros que se han dirigido a dispositivos NAS en los últimos años. Los dispositivos NAS generalmente han sido blanco de malware DDoS, pero también de bandas de ransomware como Muhstik, QSnatch y eCh0raix. Los ataques a los dispositivos LenovoEMC / Iomega son intentos de extorsión y no ataques de ransomware, ya que no han encriptado ningún archivo, sino que borraron los datos y exigieron una tarifa de recuperación.



Enlace a la noticia unique