مهاجمان دستگاه های NAS IOMEGA را پاک کردند و یادداشت های باج خواهی گذاشتند

مهاجمان در حال حذف پرونده های روی دستگاه های عمومی NAS IOMEGA لنوو هستند و یادداشت های باج خواهی از خود بجا می گذارند. در یادداشت ها گفته شده که در صورت پرداخت بیت کوین مهاجمان پرونده ها را پس می دهند.

در بحث های انجمن bleeping computer، کاربران گزارش داده اند که پرونده های دستگاه NAS IOMEGA لنوو آنها حذف یا پنهان شده است و یک یادداشت باج خواهی به جا مانده است. اسم این یادداشت باجگیری Your files are safe بود و بیان میکرد که پرونده کاربران رمزگذاری شده و به یک مکان امن منتقل شده است.

آنها در حال ایجاد کردن باج ها و پیام هایی با مقادیر مختلف بودند.ازجمله یادداشت های باج خواهی که توسط Bleeping computer دیده شده است این است که کاربران باید ۰.۰۱ تا. ۰.۰۵ بیت کوین به آدرس مشخص شده پرداخت کنند یا پرونده ها حذف خواهند شد.

یک نوع متفاوت که کمتر دیده می شود،که هشدار می دهد اگر کاربر [بیت کوین] را پرداخت نکند پرونده های آنها در Dark web فروخته می شود.

یکی از آدرس های بیت کوین که به این حمله مرتبط است و از ۲۷ ژوئن،۹ پرداخت دریافت کرده است که می تواند بر اساس مبلغ پرداختی مربوط به این کمپین باشد.

مشخص نیست که مهاجمان پس از انجام پرداخت، پرونده ها را بازیابی میکنند یا خیر!

 

پرونده ها حذف شده اند اما قابل بازیابی هستند

از آنجایی که این دستگاه های NAS از فایل-سیستم های EXT2 هستند برخی کاربران گزارش مشکل کار با نرم‌افزار بازیابی با دستگاه های NAS را داده اند.

یکی از قربانیان به Bleeping computer گفته است که پس از اتصال رایانه خود با استفاده از درگاه USB موفق به استفاده از نرم افزار بازیابی فایل شده اند.

 

احتمال دسترسی از طریق وب رابط

هنوز مشخص نیست که مهاجمان چطور به دستگاه های قربانیان دسترسی پیدا کرده اند، اما جست و جو های موجود در shodan نشان می دهد که دستگاه های بیشمار NAS که مستقیما به اینترنت متصل هستند.

تحقیقات انجام شده توسط Bleeping computer نشان می دهد که دستگاه های نا امن IOMEGA دارای Front End عمومی هستند که این به شما اجازه می دهد به پرونده های خود از طریق وب از راه دور دسترسی داشته باشید.

 

اگر به درستی ایمن نباشد،این رابط وب می تواند به یک کاربر از راه دور اجازه بارگذاری یا حذف پوشه ها را دهد.

 

یکی از قربانیان به Bleeping computer گفته است که Front end دستگاه NAS IOMEGA آنها قفل نشده و در دسترس عموم نبوده است و احتمالا به عنوان بخشی از این حمله مورد استفاده قرار گرفته است.

لنوو در گذشته مشاوره ای در مورد چگونگی ایمن سازی مناسب این رابط که همه صاحبان ان باید دنبال کنند، منتشر کرده بود.

Bleeping با لنوو تماس گرفته است تا اطلاعات بیشتری در مورد آنها کسب کند اما در حال حاضر از آنها پاسخی نشنیده است.

 

دستگاه های Qnap و NAS Synology نیز مورد حمله قرار گرفته اند

دستگاه های NAS Iomega تنها دستگاه هایی نیست که با حمله هایی که پرونده قربانی را باج قرار می دهند هدف قرار می گیرند.

اخیرا ما در مورد باج افزار echorarix گزارش دادیم که دستگاه های NAS Qnap  را هدف قرار می دهد. پس از آنکه تعداد زیادی از کاربران برای اولین بار از این آلودگی خبر دادند، تحقیقات بیشتری منتشر شد.Qnap مشاوره ای در مورد نحوه قفل کردن و ایمن سازی دستگاه های NAS خود صادر کرد.

Synology نیز اخیراً به دلیل گزارش کاربران از دستگاههای NAS ، مشاوره ای را منتشر کرد. بعد از حمله مهاجمان از طریق Brute -Force کلمه عبور دستگاه ها به باج افزار آلوده می شود

در صورت نیاز به دسترسی  به پرونده های خود ، تمام دستگاه های NAS باید توسط یک فایروال ایمن شده و فقط از طریق VPN قابل دسترسی باشند. اگر امکان استفاده از VPN برای دسترسی به شبکه داخلی خود را ندارید ، حداقل باید مطمئن شوید که دستگاه ها را ایمن کرده اید، تا  با  رمز عبور قوی به دستگاه دسترسی پیدا کنید