Una banda de hackers está limpiando dispositivos NAS de Lenovo y solicitando rescates

Un grupo de hackers con el nombre de 'Cl0ud SecuritY' está entrando en los viejos dispositivos de almacenamiento conectados a la red (NAS) LenovoEMC (anteriormente Iomega), borrando archivos y dejando notas de rescate pidiendo a los propietarios que paguen entre $ 200 y $ 275 para obtener sus datos espalda. Los ataques han estado ocurriendo durante al menos un mes, según las entradas en BitcoinAbuse, un portal web donde los usuarios pueden informar las direcciones de Bitcoin abusadas en ransomware, extorsiones, delitos informáticos y otras estafas en línea. Los ataques parecen haberse dirigido solo a dispositivos LenovoEMC / Iomega NAS que están exponiendo su interfaz de administración en Internet sin una contraseña.
ZDNet pudo identificar alrededor de 1,000 de estos dispositivos mediante una búsqueda de Shodan. Muchos de los dispositivos NAS que encontramos de esta manera contenían una nota de rescate llamada "¡RECUPERA TUS ARCHIVOS !!!!. Txt.
" Todas las notas de rescate se firmaron con el nombre 'Cl0ud SecuritY' y se utilizó la misma dirección de correo electrónico "cloud@mail2pay.com" como punto de contacto. Imagen: ZDNet Los ataques recientes registrados durante el mes pasado parecen ser una continuación de los ataques que comenzaron el año pasado y que también se han dirigido exclusivamente a las estaciones NAS de LenovoEMC (anteriormente Iomega).
Si bien los ataques del año pasado no se firmaron y usaron un correo electrónico de contacto diferente, hay muchas similitudes entre los textos de las notas de rescate utilizados en 2019 y 2020 para creer que el mismo actor de amenaza está detrás de ambas olas de ataque. En una llamada telefónica hoy, Victor Gevers, un investigador de seguridad de la Fundación GDI, le dijo a ZDNet que ha estado rastreando los ataques durante años y que estas intrusiones recientes parecen ser el trabajo de un hacker poco sofisticado. Gevers dijo que los piratas informáticos no confiaron en un exploit complejo, dispositivos dirigidos que ya estaban abiertos en Internet, y no se molestaron en cifrar los datos.
Los piratas informáticos de Cl0ud SecuritY afirman haber copiado los archivos de la víctima en sus servidores y amenazaron con filtrar los archivos, generalmente si no se paga una nota de rescate dentro de los cinco días. Sin embargo, no hay evidencia que sugiera que los datos hayan sido respaldados en ningún lado, ni que ningún dato de víctimas anteriores se haya filtrado en línea en ningún lugar durante el año pasado. Según las pruebas actuales, las notas de rescate parecen llevar amenazas vacías, y su función parece ser asustar a las víctimas para que paguen una demanda de rescate por los piratas informáticos que ya han eliminado.
Gevers dijo a ZDNet hoy que los ataques contra dispositivos NAS de LenovoEMC (Iomega en ese momento) no son nuevos y que investigó incidentes desde 1998. Lenovo ha descontinuado las líneas NAS de LenovoEMC e Iomega en 2018, y la razón por la cual solo identificamos alrededor de 1,000 dispositivos aún expuestos en línea, ya que la mayoría de las estaciones NAS han alcanzado su EOL hace mucho tiempo y han sido desmanteladas por muchos usuarios. Sin embargo, algunos dispositivos NAS todavía se están ejecutando y, afortunadamente, una página de soporte de Lenovo sobre cómo proteger adecuadamente este tipo de dispositivos todavía está disponible en línea para los usuarios que buscan proteger sus datos.
Los ataques a dispositivos NAS de LenovoEMC / Iomega no son los primeros que se han dirigido a dispositivos NAS en los últimos años. Los dispositivos NAS generalmente han sido blanco de malware DDoS, pero también de bandas de ransomware como Muhstik, QSnatch y eCh0raix. Los ataques a los dispositivos LenovoEMC / Iomega son intentos de extorsión y no ataques de ransomware, ya que no han encriptado ningún archivo, sino que borraron los datos y exigieron una tarifa de recuperación.
pags VER GALERÍA COMPLETA.