NAS-хранилища Lenovo под атакой вымогателей
Киберпреступники удаляют файлы с сетевых накопителей Lenovo Iomega и требуют выкуп за их восстановление. Пока неизвестно, каким образом злоумышленники проникают на целевые устройства, однако отмечается, что нападающие могут использовать незащищенный веб-интерфейс.
Первые сообщения о взломанных хранилищах появились в Сети 23 июля этого года. Пользователи устройств Lenovo Iomega рассказали на форуме издания BleepingComputer, что все их данные были удалены, а на диске появился текстовый документ с требованием выкупа. Файл назывался YOUR FILES ARE SAFE!!!.txt. В нем говорилось, что пользователь должен заплатить от 0,01 до 0,05 биткойна за восстановление информации.
На данный момент известно несколько вариантов записки от вымогателей. В большинстве из них киберпреступники обещали удалить все похищенные файлы. В отдельных случаях — продать их в дарквебе. Документ также содержал идентификатор жертвы и электронный адрес вымогателей. Мошенники предлагали сообщить им о перечислении денег по электронной почте или указать в комментарии к платежу свой id. Поле этого они обещали разместить на скомпрометированном устройстве файл со ссылкой на скачивание украденных данных.
Данные пострадавших NAS Lenovo Iomega можно восстановить
Пока нет никаких сведений о том, что злоумышленники действительно копируют файлы жертвы, а не просто удаляют их из сетевого хранилища. В биткойн-кошелек, указанный в записке, за последние дни поступило 9 платежей, возможно, связанных с этой кампанией, однако вернули ли жертвам файлы, неизвестно. Тем не менее некоторые пользователи NAS-устройств Lenovo, пострадавшие от действий киберпреступников, сумели восстановить данные при помощи специализированных утилит, подключив хранилище к компьютеру через USB.
Причиной взлома NAS-хранилищ могли стать некорректные настройки
Как именно злоумышленники проникли в сетевые хранилища Lenovo, пока неизвестно. По одной из версий, они могли воспользоваться неправильно настроенным веб-интерфейсом и удалить файлы через общедоступную панель управления устройством. Некоторые ИБ-специалисты связывают атаки с уязвимостью SambaCry, которая позволяет дистанционно выполнять команды в системах под управлением Linux. Этот баг киберпреступники уже использовали для атак на NAS-накопители.
В июле этого года исследователи также обнаружили уязвимости в API некоторых устаревших моделей Lenovo Iomega. Используя этот баг, киберпреступник мог получить свободный доступ к информации на устройстве, зная только его IP-адрес. Разработчики залатали ошибку, однако установка патча на все доступные в Интернете хранилища потребует времени.
Источник: https://threatpost.ru/hackers-wiping-files-from-lenovo-iomega-nas-demanding-ransom/33656/