I dispositivi LenovoEMC NAS sono gli ultimi obiettivi di un gruppo di criminalità informatica noto come Cl0ud SecuritY.
LenovoEMC NAS, o i dispositivi di archiviazione collegati in rete sono attualmente presi di mira dagli attori delle minacce ransomware che cancellano i loro file e richiedono un riscatto di circa $200 – $275 per ripristinare i dati. Dati da BitcoinAbuse, un portale in cui sono riportati gli indirizzi Bitcoin utilizzati nel ransomware e il crimine informatico, mostra che questa campagna Cl0ud SecuritY dura da almeno un mese.
Gli obiettivi principali degli aggressori sono i dispositivi Lenovo EMC NAS con l'interfaccia di gestione esposta su Internet senza password. Secondo una ricerca di Shodan, ci sono circa 1,000 tali dispositivi, ZDNet dice. Alcuni dei dispositivi NAD trovati dai ricercatori sulla sicurezza contenevano una nota di riscatto soprannominata RECUPERA I TUOI FILE!!!!.txt, firmato dagli hacker di Cl0ud SecuritY che hanno lasciato la seguente e-mail per il contatto:
cloud@mail2pay.com
Questa non è la prima campagna destinata allo stesso marchio di dispositivi NAS. L'anno scorso un'altra campagna ha preso di mira LenovoEMC e sebbene non fosse firmata e con un indirizzo email diverso, i ricercatori ritengono che sia stato coniato dallo stesso gruppo.
Attacchi contro dispositivi NAS Lenovo EMC eseguiti da criminali non sofisticati
Secondo il ricercatore di sicurezza Victor Gevers della Fondazione GDI, tali attacchi vanno avanti da anni, con le recenti intrusioni molto probabilmente provenienti da un gruppo di hacker non sofisticato. In una conversazione con ZDNet, il ricercatore ha condiviso che questi hacker si basano su un semplice exploit e prendono di mira dispositivi già esposti a Internet.
Anche se gli hacker di Cl0ud SecuritY stanno sostenendo di aver copiato i file della vittima sui loro server e minacciando di perderli, i ricercatori non hanno scoperto prove a sostegno di queste affermazioni. In altre parole, questo rende insufficienti le minacce espresse nella nota di riscatto.
È anche importante notare che Lenovo ha ufficialmente sospeso i dispositivi Lenovo EMC 2018 il che probabilmente spiega perché il numero di dispositivi rilevati non sia superiore a mille.
Nel mese di luglio 2019, è stata impostata una campagna di attacco contro i dispositivi QNAP NAS di proprietà di utenti finali e utenti aziendali. Il malware utilizzato contro di loro era il ransomware eCh0raix basato su Linux. L'attacco ha anche usato una lista nera che fermerebbe l'infezione se il dispositivo della vittima si trovasse in Bielorussia, Ucraina o la Russia.