Издание ZDNet обратило внимание на жалобы пользователей, появляющиеся на сайте BitcoinAbuse, где сообщают о биткоин-адресах, которые используют вымогатели, мошенники и всевозможные киберпреступники.

Как оказалось, около месяца назад группировка Cl0ud SecuritY начала взламывать старые сетевые накопители LenovoEMC (ранее Iomega). Злоумышленники стирают с них все файлы и оставляют записку с требованием выкупа в размере от 200 до 275 долларов США.

Напомню, что компания Lenovo прекратила работу над линейками LenovoEMC и Iomega NAS еще в 2018 году, и большинство сетевых накопителей этих серий уже не поддерживаются и давно отслужили свое.

Судя по всему, атаки направлены только на незащищенные устройства LenovoEMC, которые  доступны через интернет без паролей. Журналисты смогли обнаружить около 1000 таких девайсов, используя IoT-поисковик Shodan. Причем многие их этих NAS уже подверглись атакам и содержат записку с требованием выкупа — файл RECOVER YOUR FILES !!!!.txt.

Все вымогательские послания подписаны Cl0ud SecuritY, а также содержат адрес электронной почты cloud@mail2pay.com.

Cl0ud SecuritY утверждают, что перед удалением скопировали файлы жертвы на свои серверы и угрожают опубликовать их в открытом доступе, если выкуп не будет оплачен в течение пяти дней. Однако нет никаких доказательств того, что данные пострадавших действительно были где-то сохранены, а также специалистам неизвестны прецеденты публикации подобной информации в открытом доступе. Похоже, злоумышленники просто стремятся запугать своих жертв, тогда как информация пользователей уже уничтожена окончательно и бесповоротно.

Похоже, что данная вредоносная кампания является продолжением прошлогодней серии атак на сетевые накопители Iomega и Synology. Хотя в прошлом году хакеры не подписывали свои послания, как Cl0ud SecuritY, а также использовали другой email-адрес, текст записок с требованием  выкупа очень похож и позволяет предположить, что за этими инцидентами стоят одни и те же люди.

Теги: CSS