Posté le juin 30, 2020 à 23:39

UN GROUPE DE HACKERS SUPPRIME DES DONNÉES DANS LES PÉRIPHÉRIQUES NAS DE LENOVO ET DEMANDE UNE RANÇON

Un groupe de hackers connu sous le nom de « Cl0ud SecuritY » a été découvert en train de pirater un ancien périphérique de stockage connecté au réseau LenovoEMC. Le rapport a révélé que le groupe supprime des fichiers et laisse des demandes de rançon avec des requêtes demandant aux victimes de payer entre 200 et 275 dollars si elles veulent récupérer leurs données.

Les attaques ne visaient que les périphériques de stockage LenovoEMC

Ce groupe de hackers infiltre les périphériques de stockage LenonoEMC depuis environ un mois, sur la base d’entrées sur BitcoinAbus, un site populaire de rapport sur les logiciels de rançon. Le site est une liste d’adresses Bitcoin utilisées de manière abusive dans le cadre de la cybercriminalité, d’extorsions et d’attaques de logiciels de rançon. Il offre aux utilisateurs l’espace nécessaire pour signaler toute adresse ayant été impliquée dans des activités cybercriminelles.

Selon la liste, les attaques semblent avoir visé uniquement les appareils LenovoEMC (anciennement Iomega) qui exposent leur interface de gestion en ligne sans aucune protection par mot de passe. Le rapport a révélé que plus de 1 000 dispositifs de ce type sont exposés en ligne.

Plusieurs des dispositifs NAS découverts comme étant des victimes probables de l’attaque comportent des notes de rançon, avec la légende « Récupérez vos fichiers », postées par les hackers.

Le surnom « Cl0ud SecuritY » figurait également sur toutes les notes de rançon et elles utilisaient la même adresse électronique de point de contact cloud@mail2pay.com. Cela montre que l’attaque, ainsi que les notes de rançon suivantes, ont été émises par les mêmes hackers.

Le rapport a également révélé que cette récente attaque, découverte le mois dernier, semble être la continuation d’une série d’attaques qui ont commencé l’année dernière et qui ont également visé en particulier les périphériques NAS de LenovoEMC.

Bien que pour l’attaque de l’année dernière, les hackers aient utilisé des adresses électroniques différentes et que les notes de rançon n’aient pas été signées, il existe de fortes similitudes entre les deux types d’attaques. Le rapport établit un lien entre les deux attaques. Il indique que les mêmes acteurs sont responsables de l’attaque de l’année dernière et de celle de ce mois-ci, car ils ont la même vague d’attaques et ciblent le même type de réseau.

Des attaquants peu expérimentés

Un chercheur en sécurité de la GDI Foundation, Victor Gevers, a fait part de son opinion et des conclusions du groupe de recherche sur les groupes de hackers. Il a déclaré qu’il suivait les attaques depuis de nombreuses années, mais que les récentes actions de l’attaquant montrent que c’est le travail de mains peu sophistiquées.

Gevers a rappelé que les attaquants n’ont utilisé aucune technique sophistiquée pour lancer leur attaque. Il a déclaré que les acteurs n’ont pas pris la peine de crypter leurs données et que leurs cibles étaient des appareils déjà vulnérables sur Internet.

Cependant, les hackers ont affirmé avoir copié les fichiers de leurs cibles sur leurs serveurs, et ils menacent de rendre les fichiers publics si les victimes ne répondent pas à leurs demandes de rançon dans les jours qui suivent.

Mais personne ne sait avec certitude si des données les concernant ont été rendues publiques ou s’ils disposent d’une copie de sauvegarde des données, comme ils l’ont prétendu.

Les hackers pourraient émettre des menaces vides de sens

Puisqu’il n’y a aucune preuve concrète que les hackers détiennent les fichiers. Il semble que les attaquants n’émettent que des menaces vides de sens puisqu’il n’y a aucune preuve qu’ils aient volé et chiffré des données. Gevers a suggéré que le but des hackers pourrait être d’effrayer les victimes afin qu’elles cèdent aux demandes de rançon pour des données que les hackers ont déjà effacées.

L’attaque contre LenovoEMC n’est pas la première

Gevers a également déclaré qu’il y a toujours eu des attaques contre LenovoEMC, même à l’époque où elle était encore connue sous le nom de Iomega. Il a fait remarquer que ce ne serait pas la première fois qu’elle ferait l’objet de tentatives de piratage, ayant enquêté sur des incidents de piratage depuis 1998.

Depuis 2018, Lenovo a interrompu les lignes Iomega NAS et LenovoEMC, mais il reste environ 1 000 périphériques exposés en ligne. Le nombre de dispositifs n’est pas élevé car plusieurs stations NAS ont atteint leur fin de vie depuis longtemps et de nombreux utilisateurs les ont mis hors service.

Selon Gevers, ces dispositifs sont vulnérables en ligne, qui a fait l’objet de plusieurs tentatives de piratage par des cybercriminels. Les attaquants ciblent les dispositifs NAS qui fonctionnent encore et qui sont toujours connectés en ligne, ce qui les rend plus exposés aux attaquants.