포스팅 내용

국내외 보안동향

Lomega NAS 기기의 데이터 삭제 후 랜섬노트 남기는 공격 발견

Attackers Are Wiping Iomega NAS Devices, Leaving Ransom Notes


공격자들이 공개적으로 접근이 가능한 Lenovo의 Iomega NAS 기기의 파일들을 삭제하고 랜섬노트를 남기는 공격이 발견되었습니다. 


이 랜섬노트에는 랜섬머니를 비트코인으로 지불하면 암호화된 파일을 복구할 수 있다는 메시지를 표시하고 있었습니다.


사용자들이 Lenovo Iomega NAS 기기의 모든 파일들이 삭제되거나 숨겨지고, 그 자리에 랜섬노트가 남아있었다고 제보했습니다. 


이 랜섬노트의 이름은 "YOUR FILES ARE SAFE!!!.txt"이며, 사용자의 파일이 암호화되어 안전한 장소로 이동되었다고 밝히고 있었습니다.



[그림 1] 랜섬 노트

<이미지 출처: https://www.bleepingcomputer.com/news/security/attackers-are-wiping-iomega-nas-devices-leaving-ransom-notes/>



발견된 랜섬노트의 메시지 문구와 랜섬머니 금액은 각각 달랐지만, 공통된 메시지는 0.01 ~ 0.05 비트코인을 지불하지 않으면 파일이 영원히 사라진다는 것입니다.



YOUR FILES HAVE BEEN ENCRYPTED AND MOVED TO A SAFE LOCATION. IF YOU NEED THEM BACK PLEASE SEND 0.03 BITCOIN TO THIS ADDRESS:

13gMN3sJFxoLvoDzyGxq31sr4k9P2qqMDQ

YOU HAVE UNTIL THE 1st OF AUGUST 2019 TO MAKE THE PAYMENT OR YOUR FILES WILL BE GONE FOR GOOD.

YOUR UNIQE ID IS: "xxx".

BE SURE TO INCLUDE IT IN THE PAYMENT COMMENTS, OR EMAIL ME THE CODE AND PAYMENT CONFIRMATION TO: iomega@cock.li

AFTER THE PAYMENT YOU WILL RECEIVE A NEW FILE ON YOUR NAS DEVICE WITH THE LINK TO YOUR DECRYPTED FILES.

THANK YOU FOR YOUR COOPERATION.



또 다른 변종은 사용자가 랜섬머니를 지불하지 않을 경우 그들의 파일이 다크웹에서 판매될 것이라는 메시지를 포함하고 있었습니다.



YOUR FILES HAVE BEEN ENCRYPTED AND MOVED TO A SAFE LOCATION. IF YOU NEED THEM BACK PLEASE SEND 0.01 BITCOIN TO THIS ADDRESS:

172bnrSX351TEEVrFJTPAA9ktBxfjnweLm

YOU HAVE UNTIL THE 15th OF AUGUST 2019 TO MAKE THE PAYMENT OR YOUR FILES WILL BE SOLD ON THE DARK WEB.

YOUR UNIQE ID IS: "xxx".

BE SURE TO INCLUDE IT IN THE PAYMENT COMMENTS, OR EMAIL ME THE CODE AND PAYMENT CONFIRMATION TO: decryptiega@protonmail.com

AFTER THE PAYMENT YOU WILL RECEIVE A NEW FILE ON YOUR FTP DEVICE WITH THE LINK TO YOUR DECRYPTED FILES.

THANK YOU FOR YOUR COOPERATION.



이 공격과 관련된 비트코인 주소들 중 하나는 아래와 같으며, 6월 27일부터 총 9회 입금되었다고 나와있습니다. 



비트코인 주소

- 13gMN3sJFxoLvoDzyGxq31sr4k9P2qqMDQ



입금된 금액으로 미루어 볼 때, 이 캠페인과 관련이 있는 것으로 추정됩니다.


공격자들이 랜섬머니를 받은 후, 실제 파일을 복구해주었는지는 알려지지 않았습니다.



파일은 삭제되지만, 복구 가능해


연구원들은 조사를 통해 파일이 암호화되는 것이 아니라 파일이 삭제되고 드라이브 어딘가에 숨겨져 있다는 것을 발견했습니다.


공격받은 NAS 기기들이 ext12 파일 시스템을 사용하기 때문에, 일부 사용자들은 NAS 기기들에 복구 소프트웨어를 사용하는데 어려움이 있을 것입니다.


하지만, 한 피해자는 NAS 기기를 USB 포트를 통해 PC에 연결한 후 파일 복구 소프트웨어를 통해 파일을 복구하는데 성공했다고 밝혔습니다.



웹 인터페이스를 통한 접근 가능성 있어


공격자가 어떻게 피해자의 기기에 접근할 수 있는지는 아직까지 밝혀지지 않았습니다. 


하지만 검색엔진 쇼단(Shodan)에서는 인터넷에 직접적으로 연결된 수많은 Iomega NAS 기기들을 보여주고 있습니다.


연구원들은 프론트엔드에서 공개적으로 접근 가능한 보호되지 않은 Iomega 기기들이 웹을 통해 원격으로 사용자들의 파일에 접근하도록 허용한다고 전했습니다. 


웹 인터페이스가 적절한 보호를 받지 않을 경우, 원격 사용자가 NAS의 폴더에 업로드 및 삭제가 가능합니다.


한 피해자는 사용 중인 Iomega NAS 기기의 프론트엔드가 공개적으로 접근 가능한 상태였기 때문에 해당 공격이 성공할 수 있었을 것이라고 말했습니다. 


아래 [그림 2]은 피해자의 웹 인터페이스가 랜섬노트를 표시하고 있는 것을 나타냅니다.



[그림 2] Iomega 웹 인터페이스

<이미지 출처: https://www.bleepingcomputer.com/news/security/attackers-are-wiping-iomega-nas-devices-leaving-ransom-notes/>



연구원들은 Lenovo로부터 추가 정보를 얻고자 연락을 취했지만, 아직까지 답변을 받지 못한 상태입니다.



Qnap 및 Synology NAS 기기들 또한 공격받고 있어


Iomega NAS 기기들만이 공격을 받고 있는 것은 아닙니다.


최근 QNAP NAS 기기들을 노리는 새로운 랜섬웨어인 eCh0raix가 발견되었습니다. 





QNAP은 많은 감염 제보와 추가적인 연구 결과가 공개된 후에 NAS 기기를 보호하는 방법에 대한 권고문을 발행했습니다.


Synology 또한 최근 사용자들에게 NAS 기기가 브루트포싱 공격을 통한 랜섬웨어에 감염되었다는 제보를 받은 후 권고문을 공개했습니다.


파일에 대한 공용 액세스가 필요하지 않을 경우, 모든 NAS 기기는 방화벽으로 보호되어야 하며 VPN을 통해서만 접속이 가능해야 합니다. 


내부 네트워크에 VPN을 사용할 수 없을 경우, 기기를 강력한 패스워드로 보호하는 것이 최선의 방법입니다.





출처:

https://www.bleepingcomputer.com/news/security/attackers-are-wiping-iomega-nas-devices-leaving-ransom-notes/

https://www.bleepingcomputer.com/forums/t/701380/decryptiomega-nas-ransomware-your-files-are-the-safe-txt/

티스토리 방명록 작성
name password homepage