Ten groźny ransomware napisany w języku Python atakuje platformy ESXi

Hakerzy nie ustają w wysiłkach, aby stworzyć coraz bardziej przebiegłe w działaniu i groźniejsze wersje szkodliwego oprogramowania. Jeden z ostatnich przykładów to malware typu ransomware napisany w języku programowania Python, zdolny zaatakować system IT i zaszyfrować w błyskawicznym tempie przechowywane przez niego dane.

Grafika: DigitalArtist/pixabay

Jak podają informatycy z firmy Sophos, to jeden z najszybszych odnotowanych ataków tego typu przeprowadzony ostatnio przez hakerów, którzy wzięli na cel platformę ESXi w celu zaszyfrowania obsługiwanych przez nią maszyn wirtualnych. Cyberprzestępcom udało się włamać na konto TeamViewer. To znana platforma zdalnego dostępu i wsparcia, która może być używana zarówno przez ogół społeczeństwa, jak i przez firmy używające jej do zarządzania i kontrolowania komputerów PC i urządzeń mobilnych.

Ponieważ oprogramowanie zostało zainstalowane na komputerze używanym przez osobę, która była również administratorem domeny, znalezienie podatnego na ataki serwera ESXi zajęło tylko kilka minut. Było to oprogramowanie VMware ESXi - hiperwizor klasy korporacyjnej typu bare-metal używany do zarządzania zarówno kontenerami, jak i maszynami wirtualnymi (VM).

Zobacz również:

  • Mobile Verification Toolkit sprawdzi, czy nasz smartfon nie był szpiegowany
  • Bezpieczeństwo? Bierzmy się do roboty...
  • Języki programowania - czego uczyć się w 2022?

Badacze twierdzą, że serwer ESXi był prawdopodobnie podatny na exploity z powodu aktywnej powłoki, co doprowadziło do zainstalowania przez hakerów oprogramowania Bitvise. W tym przypadku cyberprzestępcy wykorzystali to właśnie narzędzie do swoich celów i już po kilku godzinach byli w stanie wdrożyć swoje oprogramowanie ransomware i zaszyfrować wirtualne dyski twarde. Skrypt użyty do przejęcia konfiguracji maszyny wirtualnej firmy miał tylko 6 KB długości, ale zawierał zmienne, w tym różne zestawy kluczy szyfrowania, adresów e-mail i opcje dostosowywania sufiksu używanego do szyfrowania plików podczas ataku opartego na oprogramowaniu ransomware.

Złośliwe oprogramowanie utworzyło mapę dysku, zinwentaryzowało nazwy maszyn wirtualnych, a następnie wyłączyło każdą maszynę wirtualną. Gdy wszystkie zostały wyłączone, rozpoczęło się pełne szyfrowanie bazy danych. Wszystko to powinno uświadomić administratorom systemów bazujących na platformach VM, że należy zawsze zachować ostrożność i przestrzegać na nich wysokich standardów bezpieczeństwa.

Sophos zwraca też uwagę na fakt, że Python to język kodowania, który nie jest powszechnie używany do pisania oprogramowania ransomware. Należy jednak pamiętać, że Python jest preinstalowany w systemach opartych na systemie Linux, takich jak ESXi, co umożliwia ataki na takie systemy właśnie przy użyciu tego języka. Serwery ESXi stanowią atrakcyjny cel dla cyberprzestępców, ponieważ mogą atakować wiele maszyn wirtualnych jednocześnie, gdzie na każdej z maszyn wirtualnych mogą być uruchomione aplikacje lub usługi o znaczeniu krytycznym dla firmy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200