Os dispositivos LenovoEMC NAS são os alvos mais recentes de um grupo de crimes cibernéticos conhecido como Cl0ud SecuritY.
LenovoEMC NAS, ou dispositivos de armazenamento conectados à rede estão sendo atualmente alvo de agentes de ameaças de ransomware que limpam seus arquivos e exigem um resgate de cerca de $200 – $275 restaurar os dados. Dados do BitcoinAbuse, um portal onde os endereços Bitcoin usados em ransomware e crimes cibernéticos são relatados, mostra que esta campanha Cl0ud SecuritY está em andamento há pelo menos um mês.
Os principais alvos dos atacantes são dispositivos LenovoEMC NAS que têm sua interface de gerenciamento exposta na Internet sem uma senha. De acordo com uma pesquisa Shodan, existem aproximadamente 1,000 esses dispositivos, ZDNet diz. Alguns dos dispositivos NAD encontrados pelos pesquisadores de segurança continham uma nota de resgate dublada RECUPERAR SEUS ARQUIVOS!!!!.TXT, assinado pelos hackers Cl0ud SecuritY que deixaram o seguinte email para contato:
cloud@mail2pay.com
Esta não é a primeira campanha segmentada para a mesma marca de dispositivos NAS. No ano passado, outra campanha foi direcionada ao LenovoEMC e, apesar de não ter sido assinada e ter um endereço de e-mail diferente, pesquisadores acreditam que foi cunhado pelo mesmo grupo.
Ataques contra dispositivos NAS LenovoEMC realizados por criminosos não sofisticados
De acordo com o pesquisador de segurança Victor Gevers, da Fundação GDI, esses ataques já acontecem há anos, com as recentes intrusões provavelmente provenientes de um grupo de hackers não sofisticados. Em uma conversa com ZDNet, o pesquisador compartilhou que esses hackers contam com uma exploração simples e estão direcionando dispositivos que já foram expostos à internet.
Mesmo que os hackers do Cl0ud SecuritY estejam alegando que copiaram os arquivos da vítima para seus servidores e ameaçando vazá-los, pesquisadores não descobriram evidências que sustentem essas alegações. Em outras palavras, isso torna as ameaças feitas na nota de resgate insuficientes.
Também é importante observar que a Lenovo descontinuou oficialmente os dispositivos LenovoEMC em 2018 o que provavelmente explica por que o número de dispositivos descobertos não é superior a mil.
Em julho 2019, uma campanha de ataque foi definida contra dispositivos QNAP NAS de propriedade de usuários finais e usuários corporativos. O malware usado contra eles foi o ransomware eCh0raix baseado em Linux. O ataque também usou uma lista negra que interromperia a infecção se o dispositivo da vítima estivesse localizado na Bielorrússia, Ucrânia ou Rússia.