Notícias

Atacantes estão limpando dispositivos NAS da Iomega, deixando notas de resgate

Os atacantes estão excluindo arquivos em dispositivos Lenovo Iomega NAS acessíveis publicamente e deixando as notas de resgate para trás. Essas notas de resgate dizem que os atacantes vão devolver os arquivos se um resgate de bitcoins for pago.

Em um tópico nos fóruns do BleepingComputer, os usuários estão relatando que todos os arquivos em seus dispositivos Lenovo Iomega NAS foram excluídos ou ocultados e uma nota de resgate foi deixada em seu lugar. Esta nota de resgate é nomeada SEUS ARQUIVOS ESTÃO SEGUROS !!! .txt  e declara que os arquivos do usuário foram criptografados e movidos para um local seguro.

Bilhete de resgate
Bilhete de resgate

Das notas de resgate vistas pelo BleepingComputer, elas estão sendo criadas com quantidades e mensagens de resgate diferentes. A mensagem mais comum é que o usuário deve pagar bitcoins de 0.01 a 0.05 ao endereço especificado ou os arquivos “desaparecerão para sempre”.

YOUR FILES HAVE BEEN ENCRYPTED AND MOVED TO A SAFE LOCATION. IF YOU NEED THEM BACK PLEASE SEND 0.03 BITCOIN TO THIS ADDRESS:
13gMN3sJFxoLvoDzyGxq31sr4k9P2qqMDQ
YOU HAVE UNTIL THE 1st OF AUGUST 2019 TO MAKE THE PAYMENT OR YOUR FILES WILL BE GONE FOR GOOD.
YOUR UNIQE ID IS: "xxx".
BE SURE TO INCLUDE IT IN THE PAYMENT COMMENTS, OR EMAIL ME THE CODE AND PAYMENT CONFIRMATION TO: [email protected]
AFTER THE PAYMENT YOU WILL RECEIVE A NEW FILE ON YOUR NAS DEVICE WITH THE LINK TO YOUR DECRYPTED FILES.
THANK YOU FOR YOUR COOPERATION.

Uma variante diferente vista menos comumente avisa que, se o usuário não fizer o pagamento, seus arquivos serão vendidos na web escura.

YOUR FILES HAVE BEEN ENCRYPTED AND MOVED TO A SAFE LOCATION. IF YOU NEED THEM BACK PLEASE SEND 0.01 BITCOIN TO THIS ADDRESS:
172bnrSX351TEEVrFJTPAA9ktBxfjnweLm
YOU HAVE UNTIL THE 15th OF AUGUST 2019 TO MAKE THE PAYMENT OR YOUR FILES WILL BE SOLD ON THE DARK WEB.
YOUR UNIQE ID IS: "xxx".
BE SURE TO INCLUDE IT IN THE PAYMENT COMMENTS, OR EMAIL ME THE CODE AND PAYMENT CONFIRMATION TO: [email protected]
AFTER THE PAYMENT YOU WILL RECEIVE A NEW FILE ON YOUR FTP DEVICE WITH THE LINK TO YOUR DECRYPTED FILES.
THANK YOU FOR YOUR COOPERATION.

Um dos endereços de bitcoin associados a esse ataque é 13gMN3sJFxoLvoDzyGxq31sr4k9P2qqMDQ  e recebeu 9 pagamentos desde 27 de junho que podem estar relacionados a essa campanha com base nos valores de pagamento.

Endereço Bitcoin

Não se sabe se os atacantes restauram os arquivos depois que um pagamento é feito.

Os arquivos são excluídos, mas podem ser recuperados

Em conversas com vítimas, o BleepingComputer descobriu que os arquivos estão sendo excluídos em vez de criptografados e ocultos em algum lugar da unidade.

Como estes são dispositivos NAS com sistemas de arquivos ext2, alguns usuários relataram dificuldades em usar o software de recuperação de arquivos para trabalhar com os dispositivos NAS.

Uma vítima, entretanto, disse ao BleepingComputer que eles tiveram sucesso usando o software de recuperação de arquivos após conectar o dispositivo NAS ao seu PC através de uma porta USB. 

Possivelmente ganhando acesso via interface web

Não está claro como os atacantes estão obtendo acesso aos dispositivos da vítima, mas as pesquisas no Shodan mostram vários dispositivos Iomega NAS conectados diretamente à Internet.

A Research by BleepingComputer mostra que os dispositivos Iomega desprotegidos possuem front-ends publicamente acessíveis que permitem acessar remotamente seus arquivos pela web. Se não estiver adequadamente protegida, essa interface da Web pode permitir que um usuário remoto carregue e exclua pastas do NAS.

Uma das vítimas disse à BleepingComputer que o front-end de seus dispositivos Iomega NAS não estava bloqueado e acessível publicamente e pode ter sido usado como parte desse ataque. Você pode ver um exemplo de sua interface da web exibindo a nota de resgate na pasta de imagens.

Interface da Web Iomega
Interface da Web Iomega

A Lenovo havia divulgado um aviso no passado sobre como proteger adequadamente essa interface que todos os proprietários devem seguir.

BleepingComputer entrou em contato com a Lenovo para ver se eles tinham mais informações, mas não recebiam notícias deles no momento.

Os dispositivos Qnap e Synology NAS também estão sob ataque

Os dispositivos Iomega NAS não são os únicos alvo de ataques que resgatam os arquivos das vítimas.

Recentemente, nós informamos sobre um novo ransomware eCh0raix que visa os dispositivos NAS da QNAP. Depois que inúmeros usuários relataram pela primeira vez essa infecção em nossos fóruns  e mais pesquisas foram divulgadas, a QNAP emitiu um comunicado sobre como bloquear e proteger seus dispositivos NAS.

A Synology também divulgou recentemente um comunicado devido a usuários relatando que seus dispositivos NAS estavam sendo infectados por ransomware depois que os invasores forçaram as senhas de seus dispositivos a usarem força bruta.

A menos que você precise de acesso público aos seus arquivos, todos os dispositivos NAS devem ser protegidos por um firewall e acessados ​​somente por meio de uma VPN. Se você não tem a capacidade de usar uma VPN para acessar sua rede interna, então, no mínimo, certifique-se de proteger os dispositivos para que eles exijam que uma senha forte acesse o dispositivo.

Fonte

Mais Lidas

To Top