Een nieuwe soort op Python gebaseerde malware is gebruikt in een “sluipschutter”-campagne om in minder dan drie uur versleuteling op een bedrijfssysteem te realiseren.
De aanval, een van de snelste geregistreerd door Sophos-onderzoekers, werd bereikt door operators die “precisiegericht op het ESXi-platform” waren om de virtuele machines van het slachtoffer te versleutelen.
Op dinsdag zei Sophos dat de malware, een nieuwe variant geschreven in Python, werd ingezet tien minuten nadat cybercriminelen erin slaagden in te breken in een TeamViewer-account van de slachtofferorganisatie.
TeamViewer is een besturings- en toegangsplatform dat zowel door het grote publiek als door bedrijven kan worden gebruikt om pc's en mobiele apparaten op afstand te beheren en te bedienen.
Omdat de software was geïnstalleerd op een computer die werd gebruikt door een persoon die ook de toegangsgegevens van een domeinbeheerder bezat, duurde het slechts tien minuten — van 12.30 uur tot 12.40 uur op een zondag — voor aanvallers om een kwetsbare ESXi-server te vinden die geschikt was voor de volgende stadium van de aanval.
VMware ESXi is een enterprise-grade, bare-metal hypervisor die wordt gebruikt door vSphere, een systeem dat is ontworpen om zowel containers als virtuele machines (VM's) te beheren.
De onderzoekers zeggen dat de ESXi-server waarschijnlijk kwetsbaar was voor misbruik vanwege een actieve shell, en dit leidde tot de installatie van Bitvise, SSH-software die – tenminste legitiem – werd gebruikt voor Windows-serverbeheertaken.
In dit geval gebruikten de bedreigingsactoren Bitvise om toegang te krijgen tot ESXi en de virtuele schijfbestanden die door actieve VM's worden gebruikt.
“ESXi-servers hebben een ingebouwde SSH-service, de ESXi Shell genaamd, die beheerders kunnen inschakelen, maar die normaal gesproken standaard is uitgeschakeld”, zegt Sophos. “Het IT-personeel van deze organisatie was gewend om de ESXi Shell te gebruiken om de server te beheren en had de shell in de maand voorafgaand aan de aanval meerdere keren in- en uitgeschakeld. De laatste keer dat ze de shell inschakelden, slaagden ze er echter niet in om deze daarna uit te schakelen. .”
Drie uur later konden de cyberaanvallers hun Python-ransomware inzetten en de virtuele harde schijven versleutelen.
Het script dat werd gebruikt om de VM-installatie van het bedrijf te kapen, was slechts 6 kb lang, maar bevatte variabelen, waaronder verschillende sets coderingssleutels, e-mailadressen en opties voor het aanpassen van het achtervoegsel dat wordt gebruikt om bestanden te coderen bij een op ransomware gebaseerde aanval .
De malware maakte een kaart van de schijf, inventariseerde de VM-namen en schakelde vervolgens elke virtuele machine uit. Nadat ze allemaal waren uitgeschakeld, begon de volledige database-encryptie. OpenSSL werd vervolgens bewapend om ze allemaal snel te versleutelen door een commando te geven aan een log van de naam van elke VM op de hypervisor.
Zodra de codering is voltooid, werden de verkenningsbestanden overschreven met het woord f*ck en vervolgens verwijderd.
Grote game-ransomwaregroepen, waaronder DarkSide — verantwoordelijk voor de aanval op de koloniale pijplijn — en REvil staan erom bekend deze techniek te gebruiken. Sophos zegt dat de snelheid van deze zaak IT-beheerders er echter aan moet herinneren dat zowel op VM-platforms als op standaard bedrijfsnetwerken beveiligingsstandaarden moeten worden gehandhaafd.
“Python is een codeertaal die niet vaak wordt gebruikt voor ransomware”, zegt Andrew Brandt, hoofdonderzoeker bij Sophos. “Python is echter vooraf geïnstalleerd op Linux-gebaseerde systemen zoals ESXi, en dit maakt op Python gebaseerde aanvallen mogelijk op dergelijke systemen. ESXi-servers vormen een aantrekkelijk doelwit voor ransomware-bedreigingen omdat ze meerdere virtuele machines tegelijk kunnen aanvallen, waar elk van de virtuele machines zou bedrijfskritische applicaties of services kunnen draaien.”
Eerdere en gerelateerde berichtgeving
Dit is volgens cybercriminelen het perfecte slachtoffer van ransomware
Ransomware-bendes klagen dat andere criminelen hun losgeld stelen
Wat is ransomware? Alles wat je moet weten over een van de grootste bedreigingen op internet
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 