黑客团伙正在清除联想NAS设备并索要赎金

2020-07-01 04:36:10

一个名为Cl0ud security的黑客组织正在侵入旧的LenovoEMC(前身为Iomega)网络连接存储(NAS)设备,擦除文件,并留下赎金纸条,要求所有者支付200至275美元来取回他们的数据。

根据BitcoinAbuse上的条目,攻击已经发生了至少一个月。BitcoinAbuse是一个门户网站,用户可以在这里报告在勒索软件、敲诈勒索、网络犯罪和其他网络诈骗中滥用的比特币地址。

攻击似乎仅针对在没有密码的情况下在Internet上公开其管理界面的LenovoEMC/Iomega NAS设备。

我们通过这种方式发现的许多NAS设备都包含一张名为“恢复您的文件!.txt.";”的赎金纸条。

所有的赎金纸条都是用Cl0ud安全代号签署的,并使用相同的[email protected]电子邮件地址作为联系点。

过去一个月记录的最近攻击似乎是去年开始的攻击的延续,也专门针对LenovoEMC(前身为Iomega)NAS工作站。

虽然去年的攻击没有签名,而且使用了不同的联系电子邮件,但2019年和2020年使用的赎金短信有许多相似之处,都认为这两波攻击背后的威胁是同一个人。

在今天的一次电话中,GDI基金会的安全研究员Victor Gevers告诉ZDNet,他多年来一直在追踪这些攻击,最近的这些入侵似乎是一个简单的黑客所为。

盖弗斯说,黑客并不依赖于复杂的漏洞攻击,目标是已经在互联网上完全开放的设备,也没有费心加密数据。

Cl0ud安全黑客声称已经将受害者的文件复制到他们的服务器上,并威胁要泄露文件,通常情况下,如果五天内没有支付赎金,他们就会泄露文件。

然而,没有证据表明这些数据在任何地方都有备份,也没有证据表明过去受害者的任何数据在过去一年里在任何地方被泄露到了网上。

根据目前的证据,这些赎金纸条似乎带有空洞的威胁,它们的作用似乎是吓唬受害者,让他们为黑客已经抹去的数据支付赎金要求。

Gevers今天告诉ZDNet,针对LenovoEMC(当时的Iomega)NAS设备的攻击并不是什么新鲜事,他早在1998年就对这些事件进行了调查。

联想已经在2018年停止了LenovoEMC和Iomega NAS系列,这也是我们为什么只确定了大约1,000台设备仍在网上曝光的原因,因为大多数NAS站很久以前就已经达到了停产时间,并且已经被许多用户退役。

然而,一些NAS设备仍在运行,幸运的是,寻求保护数据的用户仍然可以在线获得联想支持页面,介绍如何正确保护这些类型的设备。

针对LenovoEMC/Iomega NAS设备的攻击并不是近年来第一次针对NAS设备的攻击。NAS设备通常是DDoS恶意软件的目标,但也是Muhstik、QSnatch和eCh0raix等勒索软件团伙的目标。对LenovoEMC/Iomega设备的攻击是敲诈勒索企图,而不是勒索软件攻击,因为它们没有加密任何文件,而是擦除了数据并要求恢复费用。