Новият рансъмуер на Python е насочен към виртуални машини, хипервизори ESXi за криптиране на дискове

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Нов вид зловреден софтуер, базиран на Python, е използван в „снайперска“ кампания за постигане на криптиране в корпоративна система за по-малко от три часа.

Атаката, една от най -бързите регистрирани от Изследователи от Софос, е постигната от оператори, които са “прецизно насочени към платформата ESXi”, за да криптират виртуалните машини на жертвата.

Във вторник Sophos каза, че зловредният софтуер, нов вариант, написан на Python, е бил внедрен десет минути след като участниците в заплахата са успели да проникнат в акаунта на TeamViewer, принадлежащ на организацията жертва.

TeamViewer е платформа за контрол и достъп, която може да се използва както от широката общественост, така и от бизнеса за дистанционно управление и управление на компютри и мобилни устройства.

Тъй като софтуерът е бил инсталиран на машина, използвана от физическо лице, което също притежава идентификационни данни за достъп на администратор на домейн, отне само десет минути – от 12.30 часа до 12.40 часа в неделя – нападателите да намерят уязвим ESXi сървър, подходящ за следващия етап на нападението.

VMware ESXi е корпоративен хипервизор с голи метали, използван от vSphere, система, предназначена за управление както на контейнери, така и на виртуални машини (VM).

Изследователите казват, че ESXi сървърът вероятно е бил уязвим за експлоатация поради активна обвивка и това е довело до инсталирането на Bitvise, SSH софтуер, използван – поне законно – за задачи по администриране на сървъри на Windows.

В този случай участниците в заплахата използваха Bitvise, за да се включат в ESXi и файловете на виртуалния диск, използвани от активните виртуални машини.

„ESXi сървърите имат вградена SSH услуга, наречена ESXi Shell, която администраторите могат да активират, но обикновено е деактивирана по подразбиране“, казва Софос. “ИТ персоналът на тази организация е свикнал да използва ESXi Shell за управление на сървъра и е активирал и деактивирал черупката няколко пъти през месеца преди атаката. Последният път, когато активираха черупката, те не успяха да я деактивират след това . ”

Три часа по -късно и кибератаците успяха да внедрят своя Python ransomware и да криптират виртуалните твърди дискове.

Скриптът, използван за отвличане на настройката на виртуалната машина на компанията, беше с дължина само 6 KB, но съдържаше променливи, включително различни набори ключове за шифроване, имейл адреси и опции за персонализиране на суфикса, използван за криптиране на файлове в атака, базирана на ransomware.

Зловредният софтуер създаде карта на устройството, инвентаризира имената на виртуалната машина и след това изключи всяка виртуална машина. След като всички те бяха деактивирани, започна пълно шифроване на база данни. След това OpenSSL беше оръжеен, за да ги криптира бързо, като издаде команда в регистър на името на всяка VM в хипервизора.

След като криптирането приключи, разузнавателните файлове бяха презаписани с думата f*ck и след това бяха изтрити.

Известно е, че групите за откупуване на големи игри, включително DarkSide – отговорни за атаката на Colonial Pipeline – и REvil използват тази техника. Софос казва, че скоростта на този случай трябва да напомни на ИТ администраторите, че стандартите за сигурност трябва да се поддържат във VM платформи, както и в стандартни корпоративни мрежи.

“Python е език за кодиране, който не се използва често за ransomware”, коментира Андрю Бранд, главен изследовател в Sophos. “Въпреки това, Python е предварително инсталиран на системи, базирани на Linux, като ESXi, и това прави възможни атаки, базирани на Python, върху такива системи. ESXi сървърите представляват привлекателна цел за участници в заплаха от ransomware, защото те могат да атакуват няколко виртуални машини едновременно, където всяка от виртуалните машини може да изпълнява критични за бизнеса приложения или услуги. ”


Имате бакшиш? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •