Cl0ud SecuritY hacker grubu Lenovo NAS cihazlarına Ransomware Saldırısı gerçekleştirdi!!!


‘Cl0ud SecuritY’ adıyla çalışan bir hacker grubu, eski LenovoEMC ağa bağlı depolama (NAS) cihazlarını tespit ettikten sonra zafiyetinden faydalanarak giriyor, dosyaları sildikten sonra madur kurumlarla iletişime geçerek verilerini almak için 200 ila 275 dolar arasında ödeme yapmalarını isteyen fidye notları bıraktığı tespit edildi.

Kullanıcıların fidye yazılımlarında, gasplarda, siber suçlarda ve diğer çevrimiçi dolandırıcılıklarda kötüye kullanılan Bitcoin adreslerini bildirebilecekleri bir web portalı olan BitcoinAbuse’daki girişlere göre saldırılar en az bir aydır gerçekleşiyor. Saldırılar, yalnızca yönetim arabirimlerini parola olmadan İnternet’te açığa çıkaran LenovoEMC / Iomega NAS aygıtlarını hedefliyor gibi görünüyor.

shodan.png

Lenovo’nun etkilenen NAS yönetim panellerini tespit etmek için geliştirilen bir search script ile Shodan araması kullanarak bu tür yaklaşık 1.000 cihazın bu yöntemlerle ele geçirildiği belirlendi. Bu şekilde bulunan NAS cihazlarının çoğunda “DOSYALARINIZI KURTARIN !!!!. Txt” adlı bir fidye notu vardı. Tüm fidye notları ‘Cl0ud SecuritY‘ monicker ile imzalandığı ve iletişim bilgisi olarak “cloud@mail2pay.com” e-posta adresini kullandığı görüldü.

Konu ile ilgili geçen ay kaydedilen son saldırılar, geçen yıl başlayan ve yalnızca LenovoEMC NAS istasyonlarını hedefleyen saldırıların devamı gibi görünüyor.

Geçen yılki saldırılar farklı bir iletişim e-postası kullansa da, aynı tehdit aktörünün her iki saldırı dalgasının arkasında olduğuna inanmak için hem 2019 hem de 2020’de kullanılan fidye notu metinleri arasında birçok benzerlik var. Bugün bir telefon görüşmesinde, GDI Vakfı ile bir güvenlik araştırmacısı Victor Gevers, ZDNet’e yıllardır saldırıları izlediğini ve bu son müdahalelerin sofistike olmayan bir hacker gibi göründüğünü söyledi.

Gevers, bilgisayar korsanlarının karmaşık bir açıklamaya dayanmadığını, internette zaten açık olan cihazları hedeflediğini öyledi. Cl0ud SecuritY bilgisayar korsanları, genellikle beş gün içinde fidye notu ödenmezse, mağdurun dosyalarını sunucularına kopyaladığını ve sızıntı tehdidinde bulunduğuda gelen bilgiler arasında.

Bununla birlikte, verilerin herhangi bir yerde yedeklendiğini veya geçmiş mağdurlardan gelen verilerin geçen yıl herhangi bir yere çevrimiçi olarak sızdırıldığını gösteren herhangi bir kanıt olmadığınıda belirtmek gerekir. Mevcut kanıtlara dayanarak, fidye notları boş tehditler taşıyor gibi görünüyor ve rolleri kurbanları zaten veri korsanları için fidye talebi ödemeye korkutarak yönlenirdiği görünüyor.

Gevers açıklamasında saldırılarının yeni olmadığını ve 1998’e kadar olan olayları araştırdığını söyledi. Lenovo, 2018’de hem LenovoEMC hem de Iomega NAS hatlarını bıraktı ve çoğu NAS istasyonu uzun zaman önce EOL’lerine ulaştığından ve birçok kullanıcı tarafından hizmet dışı bırakıldığından, hala çevrimiçi olan yaklaşık 1.000 cihaz faliyetlerini sürdürmekte. Bununla birlikte, bazı NAS aygıtları hala çalışıyor ve neyse ki, bu tür aygıtların nasıl güvenli bir şekilde korunacağına ilişkin bir Lenovo destek sayfası, verilerini güvenceye almak isteyen kullanıcılar için çevrimiçi olarak hala mevcuttur.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!