En ny stamme av Python-basert malware har blitt brukt i en “snikskytter” -kampanje for å oppnå kryptering på et bedriftssystem på mindre enn tre timer.
Angrepet, en av de raskeste registrert av Sophos-forskere, ble oppnådd av operatører som “presisjonsmålrettet ESXi-plattformen” for å kryptere offerets virtuelle maskiner.
Tirsdag sa Sophos at skadelig programvare, en ny variant skrevet i Python, ble distribuert ti minutter etter at trusselaktører klarte å bryte seg inn i en TeamViewer -konto som tilhører offerorganisasjonen.
TeamViewer er en kontroll- og tilgangsplattform som kan brukes av allmennheten og bedrifter til å administrere og kontrollere PCer og mobile enheter eksternt.
Ettersom programvaren ble installert på en maskin som ble brukt av en person som også eide legitimasjon for domeneadministrator, tok det bare ti minutter – fra 12.30 til 12.40 på en søndag – for angriperne å finne en sårbar ESXi -server som var egnet for neste stadiet av overfallet.
VMware ESXi er en enterprise-grade, bare metall hypervisor som brukes av vSphere, et system designet for å administrere både containere og virtuelle maskiner (VM).
Forskerne sier at ESXi -serveren sannsynligvis var sårbar for å utnytte på grunn av et aktivt skall, og dette førte til installasjon av Bitvise, SSH -programvare som ble brukt – i det minste legitimt – for Windows -serveradministrasjonsoppgaver.
I dette tilfellet brukte trusselsaktørene Bitvise til å ta i bruk ESXi og de virtuelle diskfilene som brukes av aktive VM -er.
“ESXi-servere har en innebygd SSH-tjeneste kalt ESXi Shell som administratorer kan aktivere, men er vanligvis deaktivert som standard,” sier Sophos. “Denne organisasjonens IT -ansatte var vant til å bruke ESXi Shell til å administrere serveren, og hadde aktivert og deaktivert skallet flere ganger i måneden før angrepet. Men siste gangen de aktiverte skallet, klarte de ikke å deaktivere det etterpå . ”
Tre timer senere, og cyberangrepene kunne distribuere Python -ransomware og kryptere de virtuelle harddiskene.
Skriptet som ble brukt til å kapre selskapets VM-oppsett var bare 6 kb langt, men inneholdt variabler inkludert forskjellige sett med krypteringsnøkler, e-postadresser og alternativer for å tilpasse suffikset som brukes til å kryptere filer i et ransomware-basert angrep .
Den skadelige programvaren opprettet et kart over stasjonen, oppfant VM -navnene og slå deretter av hver virtuelle maskin. Når de alle var deaktivert, begynte full databankryptering. OpenSSL ble deretter bevæpnet for å kryptere dem alle raskt ved å utstede en kommando til en logg over hvert VM -navn på hypervisoren.
Når krypteringen er fullført, ble rekognoseringsfilene overskrevet med ordet f*ck og ble deretter slettet.
Store spill ransomware -grupper inkludert DarkSide – ansvarlig for Colonial Pipeline -angrepet – og REvil er kjent for å bruke denne teknikken. Sophos sier at hastigheten på denne saken imidlertid bør minne IT -administratorer om at sikkerhetsstandarder må opprettholdes på VM -plattformer så vel som standard bedriftsnettverk.
“Python er et kodingsspråk som ikke vanligvis brukes for ransomware,” kommenterte Andrew Brandt, hovedforsker ved Sophos. “Imidlertid er Python forhåndsinstallert på Linux-baserte systemer som ESXi, og dette gjør Python-baserte angrep mulig på slike systemer. ESXi-servere representerer et attraktivt mål for ransomware-trusselaktører fordi de kan angripe flere virtuelle maskiner samtidig, hvor hver av de virtuelle maskinene kan kjøre forretningskritiske applikasjoner eller tjenester. ”
Tidligere og beslektet dekning
Dette er det perfekte offeret for ransomware, ifølge cyberkriminelle
Ransomware -gjengene klager over at andre skurker stjeler løsepengene sine – Hva er ransomware? Alt du trenger å vite om en av de største truslene på nettet
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre