En ny stamme af Python-baseret malware er blevet brugt i en “snigskytter” -kampagne for at opnå kryptering på et virksomheds system på mindre end tre timer.
Angrebet, en af de hurtigste registreret af Sophos-forskere, blev opnået af operatører, der “præcis målrettede ESXi-platformen” for at kryptere offerets virtuelle maskiner.
Tirsdag sagde Sophos, at malware, en ny variant skrevet i Python, blev indsat ti minutter efter, at trusselsaktører formåede at bryde ind i en TeamViewer -konto, der tilhører offerorganisationen.
TeamViewer er en kontrol- og adgangsplatform, der kan bruges af offentligheden og virksomheder til at styre og styre pc'er og mobile enheder eksternt.
Da softwaren blev installeret på en maskine, der blev brugt af en person, der også ejede legitimationsoplysninger til domæneadministratorer, tog det kun ti minutter – fra kl. 12.30 til 12.40 om søndagen – for angriberne at finde en sårbar ESXi -server, der var egnet til den næste stadie af overfaldet.
VMware ESXi er en enterprise-grade, bare metal hypervisor, der bruges af vSphere, et system designet til at styre både containere og virtuelle maskiner (VM'er).
Forskerne siger, at ESXi -serveren sandsynligvis var sårbar over for udnyttelse på grund af en aktiv skal, og det førte til installation af Bitvise, SSH -software, der i det mindste legitimt blev brugt til Windows -serveradministrationsopgaver.
I dette tilfælde brugte trusselsaktørerne Bitvise til at benytte ESXi og de virtuelle diskfiler, der bruges af aktive VM'er.
“ESXi-servere har en indbygget SSH-tjeneste kaldet ESXi Shell, som administratorer kan aktivere, men er normalt deaktiveret som standard,” siger Sophos. “Denne organisations IT -personale var vant til at bruge ESXi Shell til at administrere serveren og havde aktiveret og deaktiveret skallen flere gange i måneden før angrebet. Men sidste gang de aktiverede skallen, kunne de ikke deaktivere den bagefter . ”
Tre timer inde, og cyberangrebene kunne implementere deres Python -ransomware og kryptere de virtuelle harddiske.
Scriptet, der blev brugt til at kapre virksomhedens VM-opsætning, var kun 6 kb langt, men indeholdt variabler, herunder forskellige sæt krypteringsnøgler, e-mail-adresser og muligheder for at tilpasse suffikset, der bruges til at kryptere filer i et ransomware-baseret angreb .
Malwaren oprettede et kort over drevet, opfandt VM -navnene og slukkede derefter hver virtuel maskine. Når de alle var deaktiveret, begyndte fuld database kryptering. OpenSSL blev derefter bevæbnet til at kryptere dem alle hurtigt ved at udstede en kommando til en log over hver VM's navn på hypervisoren.
Når krypteringen er fuldført, blev rekognoseringsfilerne overskrevet med ordet f*ck og blev derefter slettet.
Store spil ransomware -grupper, herunder DarkSide – ansvarlig for Colonial Pipeline -angrebet – og REvil vides at bruge denne teknik. Sophos siger, at denne sags hastighed dog skal minde it -administratorer om, at sikkerhedsstandarder skal opretholdes på VM -platforme såvel som standard virksomhedsnetværk.
“Python er et kodningssprog, der ikke almindeligvis bruges til ransomware,” kommenterede Andrew Brandt, hovedforsker ved Sophos. “Python er imidlertid forudinstalleret på Linux-baserede systemer som ESXi, og det gør Python-baserede angreb mulige på sådanne systemer. ESXi-servere repræsenterer et attraktivt mål for ransomware-trusselaktører, fordi de kan angribe flere virtuelle maskiner på én gang, hvor hver af de virtuelle maskiner kunne køre forretningskritiske applikationer eller tjenester. ”
Tidligere og relateret dækning
Dette er det perfekte offer for ransomware, ifølge cyberkriminelle
Ransomware -bander klager over, at andre skurke stjæler deres løsesum – Hvad er ransomware? Alt hvad du behøver at vide om en af de største trusler på nettet
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 