상세 컨텐츠

본문 제목

레노버 NAS 기기의 데이터를 삭제하고 랜섬머니 요구하는 공격 주의

국내외 보안동향

by 알약(Alyac) 2020. 6. 30. 14:30

본문

A hacker gang is wiping Lenovo NAS devices and asking for ransoms


'Cl0ud SecuritY'라는 닉네임을 사용하는 한 해커 그룹이 LenovoEMC (구 Iomega) NAS 장비를 해킹해 파일을 삭제하고 랜섬노트를 남기고 있는 것으로 나타났습니다. 


해당 랜섬노트는 데이터 복구를 위해 200 ~ 275 달러를 요구합니다. 이 공격은 한 달 넘게 지속되고 있는 것으로 나타났습니다. 


피해자들은 랜섬웨어, 협박, 사이버 범죄 및 사기에 연루된 비트코인 주소를 신고하는 포털인 BitcoinAbuse에 꾸준히 이 건에 대해 신고하고 있었습니다.


공격자들은 패스워드가 걸려 있지 않은 상태로 인터넷에 관리 인터페이스가 노출된 LenovoEMC/Iomega NAS 기기만 노린 것으로 보입니다.


ZDNet은 Shodan 검색을 통해 이러한 기기 1,000대를 찾아낼 수 있었습니다.

 


<이미지 출처: https://www.zdnet.com/article/a-hacker-gang-is-wiping-lenovo-nas-devices-and-asking-for-ransoms/>



이 방법으로 찾아낸 많은 NAS 기기에서는 "RECOVER YOUR FILES !!!!.txt"라는 이름의 파일을 찾아볼 수 있었습니다.


모든 랜섬노트는 'Cl0ud SecuritY'라는 닉네임으로 서명되어 있었으며 연락처로 "cloud@mail2pay.com" 이메일을 사용했습니다.

 


<이미지 출처: https://www.zdnet.com/article/a-hacker-gang-is-wiping-lenovo-nas-devices-and-asking-for-ransoms/>



지난 한 달 동안 발생한 공격은 지난해 시작된 공격의 연장선으로 보입니다. 작년 발생한 공격 또한 LenovoEMC (Iomega) NAS 스테이션만을 노렸습니다.


작년 발생한 공격에서는 서명도 없었고 다른 이메일 주소를 사용하고 있었지만, 2019년과 2020년 작성된 랜섬노트를 비교한 결과 동일한 공격자의 소행이라는 점을 추측할 수 있습니다

.

GDI Foundation의 보안 연구원인 Victor Gevers는 ZDNet 측에 자신은 수년간 이 공격을 추적하고 있으며, 최근 발생한 공격은 그리 정교하지는 않다고 밝혔습니다.


Gevers는 해커가 복잡한 익스플로잇을 사용하는 것은 아니라 인터넷에 오픈된 상태인 기기들만 노렸으며, 데이터를 실제로 암호화하지도 않았다고 말했습니다.


Cl0ud SecuritY 해커는 피해자의 파일을 그들의 서버로 복사했다고 주장하며 5일 이내에 랜섬머니를 지불하지 않을 경우 데이터를 유출하겠다고 협박했습니다.


하지만 데이터가 어디에든 백업되었다는 증거는 찾아볼 수 없었으며, 지난 1년 동안 데이터가 온라인에 유출된 것도 찾아볼 수 없었습니다.


현재까지 발견된 증거로 추측해 보면, 랜섬노트의 협박은 가짜이며 해커는 이미 삭제한 데이터에 대한 랜섬머니를 요구하는 것으로 보입니다.


Gevers는 LenovoEMC를 노린 공격에 대해 새로운 것은 아니며 1998년에도 발생했었다고 밝혔습니다.


Lenovo는 LenovoEMC와 Iomega NAS 라인을 2018년 모두 중단했으며 대부분의 NAS 스테이션의 지원이 종료된 상태입니다. 


이로 인해 온라인에 공개된 장비가 1,000개뿐인 것으로 추측됩니다. 하지만 일부 NAS 기기는 여전히 사용되고 있는 것으로 나타났습니다.


레노버의 NAS 기기를 보호하는 방법에 대한 정보는 레노버의 지원 페이지에서 확인하실 수 있습니다.


LenovoEMC/Iomega NAS 기기에 대한 공격은 지난 수년간 이어오고 있습니다. 


NAS 기기는 보통 DDoS 악성코드의 공격 대상이 되지만 최근에는 Muhstik, QSnatch, eCh0raix와 같은 랜섬웨어 그룹의 공격 대상이 되었습니다. 


하지만 사실상 아무 파일도 암호화하지 않고 그냥 삭제해버린 후 돈을 요구하기 때문에 랜섬웨어 공격이라고는 할 수 없습니다.





출처:

https://www.zdnet.com/article/a-hacker-gang-is-wiping-lenovo-nas-devices-and-asking-for-ransoms/

관련글 더보기

댓글 영역