Kampania – prowadzona przez grupę podpisującą się Cl0ud SecuritY; – trwa już ponad miesiąc. Atakowane są wyłącznie urządzenia LenovoEMC oraz Iomega. Dzieje się tak z prostego powodu – są one podłączone do sieci i łatwo je wyszukiwać m.in za pomocą Shodan. Problemem jest ich interface graficzny służący do zarządzania NASem. Jeśli nie jest odpowiednio zabezpieczony, atakujący mogą zdalnie przesyłać lub usuwać zgromadzone na urządzeniu zasoby. Łatwy łup? Jak najbardziej. Shodan aktualnie wyświetla sporą ilość Iomega NAS, które są bez żadnych zabezpieczeń podłączone do sieci.
Wróćmy do obecnej kampanii. Hakerzy pozostawiają wiadomości tekstowe z informacją o możliwości odzyskania danych. Użytkownik musi jednak za to zapłacić od 200 do 275 dolarów amerykańskich. Wszystko wskazuje na to, że pliki nie są usuwane a raczej ukrywane gdzieś na urządzeniu.
BleepingComputer poinformował, że jedna z ofiar odzyskała zasoby z pomocą oprogramowania do odzyskiwania plików, po podłączeniu urządzenia NAS do komputera za pomocą portu USB. Jednak metoda ta nie sprawdza się we wszystkich przypadkach.
QNAP i Synology także są na celowniku przestępców
Użytkownicy urządzeń Iomega NAS nie są jedynymi którzy mierzą się obecnie z cyberatakami. Ransomware eCh0raix atakuje urządzenia NAS firmy QNAP. Po wielu raportach nadsyłanych przez użytkowników, producent przygotował informację w jaki sposób zablokować i zabezpieczyć urządzenia. Także firma Synology wydała opublikowała poradnik przybliżający jak radzić sobie z zagrożeniem ze strony ataków brute force.
Lepiej dmuchać na zimne… O ile nie potrzebujesz publicznego dostępu do swoich zasobów, wszystkie urządzenia NAS powinny być schowane za zaporą ogniową i dostępne wyłącznie poprzez VPN. Jeśli taki rozwiązanie nie wchodzi w grę, zabezpiecz urządzenie silnym hasłem.
