Hacker löschen NAS-Geräte von Lenovo und fordern Lösegeld

Eine Hackergruppe, die sich selbst ‚Cl0ud SecuritY‘ nennt, bricht derzeit in alte NAS-Geräte von LenovoEMC (vormals Iomega) ein, um alle darauf gespeicherten Dateien zu löschen. Anschließend fordern sie von den Opfern ein Lösegeld zwischen 200 und 275 Dollar, damit diese ihre Dateien zurückerhalten.

Dem Portal BitcoinAbuse zufolge, auf dem Nutzer auch Angriffe mit Ransomware und andere Cyberverbrechen melden können, läuft die Angriffswelle schon seit mindestens einem Monat. Offenbar beschränken die Hacker ihre Aktivitäten auf NAS-Geräte von Lenovo/EMC, deren Oberfläche über das Internet erreichbar und nicht durch ein Passwort geschützt ist. ZDNet USA ermittelte mithilfe der Gerätesuchmaschine Shodan rund 1000 anfällige Netzwerkspeicher.

Auf vielen dieser Geräte war bereits eine Textdatei mit dem Titel „Recover Your Files“ hinterlegt, die eine Anleitung enthält, wie Betroffene wieder an ihre gelöschten Daten kommen. Unterzeichnet wurden die Lösegeldforderungen von der Gruppe Cl0ud SecuritY. Als Kontaktmöglichkeit wird zudem jeweils die E-Mail-Adresse „cloud@mail2pay.com“ genannt.

Möglicherweise stehen die jüngsten Attacken in Verbindung mit einer Kampagne, die sich bereits im vergangenen Jahr gegen NAS-Geräte von Lenovo/EMC richtete. Zwar tauchte im vergangenen Jahr noch nicht der Name Cl0ud SecuritY auf, bestimmte Ähnlichkeiten sprechen jedoch dafür, dass es sich um dieselben Hintermänner handelt.

Laut dem Sicherheitsforscher Victor Gevers sind die Angriffe jeweils auf einen wahrscheinlich unerfahrenen Hacker zurückzuführen. Opfer seien stets Geräte, die frei für jeden über das Internet erreichbar seien. Auch habe er sich nie die Mühe gemacht, Daten zu verschlüsseln.

Es gebe auch keine Beweise dafür, dass die Behauptung der Hacker, sie hätten Kopien aller Daten angefertigt, wahr ist. Auch die Drohung, alle Daten im Internet zu veröffentlichen, falls das Lösegeld nicht innerhalb von fünf Tagen gezahlt werde, sei bisher anscheinend nie umgesetzt worden. Die Lösegeldforderung stuft der Forscher anhand der ihm vorliegenden Informationen als eine leere Drohung ein, um Nutzer einzuschüchtern und Geld für bereits gelöschte Dateien zu erpressen.

NAS-Geräte von LenovoEMC beziehungsweise Iomega sind heute nur noch selten im Einsatz, da sie bereits 2018 von Lenovo eingestellt und von ihren Nutzer außer Dienst gestellt wurden. Allerdings gibt es immer noch eine Support-Seite von Lenovo, die darüber informiert, wie sich diese Geräte gegen Angriffe von außen absichern lassen.

Netzwerkspeicher sind immer wieder das Ziel von Hackerangriffen. Dabei wird in der Regel versucht, die Inhalte mit einer Ransomware zu verschlüsseln, um Nutzern einen wirklichen Anreiz zu geben, ein Lösegeld zu zahlen.