En ny stam av Python-baserad skadlig kod har använts i en “sniper” -kampanj för att uppnå kryptering på ett företags system på mindre än tre timmar.
Attacken, en av de snabbaste som registrerats av Sophos forskare, uppnåddes av operatörer som “preciserade ESXi-plattformen” för att kryptera offrets virtuella maskiner.
På tisdagen sa Sophos att skadlig programvara, en ny variant skriven i Python, distribuerades tio minuter efter att hotaktörer lyckades bryta sig in i ett TeamViewer -konto som tillhör offerorganisationen.
TeamViewer är en kontroll- och åtkomstplattform som kan användas av allmänheten och företag för att fjärrhantera och styra datorer och mobila enheter.
Eftersom programvaran installerades på en maskin som användes av en person som också ägde behörighetsuppgifter för domänadministratörer, tog det bara tio minuter – från 12.30 till 12.40 på en söndag – för angripare att hitta en sårbar ESXi -server lämplig för nästa överfallets skede.
VMware ESXi är en hyper-hypervisor för företagsklass som används av vSphere, ett system som är utformat för att hantera både containrar och virtuella maskiner (VM).
Forskarna säger att ESXi -servern sannolikt var sårbar att utnyttja på grund av ett aktivt skal, och detta ledde till installationen av Bitvise, SSH -programvara som används – åtminstone legitimt – för Windows -serveradministrationsuppgifter.
I det här fallet använde hotaktörerna Bitvise för att utnyttja ESXi och de virtuella hårddiskfilerna som används av aktiva virtuella datorer.
“ESXi-servrar har en inbyggd SSH-tjänst som kallas ESXi Shell som administratörer kan aktivera, men är normalt inaktiverad som standard”, säger Sophos. “Organisationens IT -personal var van att använda ESXi Shell för att hantera servern och hade aktiverat och inaktiverat skalet flera gånger under månaden före attacken. Men förra gången de aktiverade skalet misslyckades de med att inaktivera det efteråt . ”
Tre timmar in, och cyberattackers kunde distribuera sin Python -ransomware och kryptera de virtuella hårddiskarna.
Skriptet som används för att kapa företagets VM-installation var bara 6 kb långt men innehöll variabler inklusive olika uppsättningar krypteringsnycklar, e-postadresser och alternativ för anpassning av suffixet som används för att kryptera filer i en ransomware-baserad attack .
Skadlig programvara skapade en karta över enheten, inventerade VM -namnen och stängde sedan av varje virtuell dator. När de alla var inaktiverade började fullständig databaskryptering. OpenSSL vapenades sedan för att kryptera dem alla snabbt genom att utfärda ett kommando till en logg med varje VM: s namn på hypervisor.
När krypteringen är klar skrivs spaningsfilerna över med ordet f*ck och raderas sedan.
Stora spel ransomware grupper inklusive DarkSide – ansvarig för Colonial Pipeline attack – och REvil är kända för att använda denna teknik. Sophos säger att den här hastighetens stora hastighet dock bör påminna IT -administratörer om att säkerhetsstandarder måste upprätthållas på VM -plattformar såväl som standardföretag.
“Python är ett kodningsspråk som inte vanligtvis används för ransomware”, kommenterade Andrew Brandt, huvudforskare på Sophos. “Men Python är förinstallerat på Linux-baserade system som ESXi, och detta gör Python-baserade attacker möjliga på sådana system. ESXi-servrar representerar ett attraktivt mål för ransomware-hotaktörer eftersom de kan attackera flera virtuella maskiner samtidigt, där var och en av de virtuella maskinerna kan köra affärskritiska applikationer eller tjänster. ”
Tidigare och relaterad täckning
Detta är det perfekta ransomwareoffret, enligt cyberkriminella
Ransomware -gäng klagar på att andra skurkar stjäl sina lösenord
Vad är ransomware? Allt du behöver veta om en av de största hoten på webben
Har du ett tips? Kontakta oss säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 