Jak podają informatycy z firmy Sophos, to jeden z najszybszych odnotowanych ataków tego typu przeprowadzony ostatnio przez hakerów, którzy wzięli na cel platformę ESXi w celu zaszyfrowania obsługiwanych przez nią maszyn wirtualnych. Cyberprzestępcom udało się włamać na konto TeamViewer. To znana platforma zdalnego dostępu i wsparcia, która może być używana zarówno przez ogół społeczeństwa, jak i przez firmy używające jej do zarządzania i kontrolowania komputerów PC i urządzeń mobilnych.

Ponieważ oprogramowanie zostało zainstalowane na komputerze używanym przez osobę, która była również administratorem domeny, znalezienie podatnego na ataki serwera ESXi zajęło tylko kilka minut. Było to oprogramowanie VMware ESXi - hiperwizor klasy korporacyjnej typu bare-metal używany do zarządzania zarówno kontenerami, jak i maszynami wirtualnymi (VM).

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Co trzecia firma w Polsce z cyberincydentem

Badacze twierdzą, że serwer ESXi był prawdopodobnie podatny na exploity z powodu aktywnej powłoki, co doprowadziło do zainstalowania przez hakerów oprogramowania Bitvise. W tym przypadku cyberprzestępcy wykorzystali to właśnie narzędzie do swoich celów i już po kilku godzinach byli w stanie wdrożyć swoje oprogramowanie ransomware i zaszyfrować wirtualne dyski twarde. Skrypt użyty do przejęcia konfiguracji maszyny wirtualnej firmy miał tylko 6 KB długości, ale zawierał zmienne, w tym różne zestawy kluczy szyfrowania, adresów e-mail i opcje dostosowywania sufiksu używanego do szyfrowania plików podczas ataku opartego na oprogramowaniu ransomware.

Złośliwe oprogramowanie utworzyło mapę dysku, zinwentaryzowało nazwy maszyn wirtualnych, a następnie wyłączyło każdą maszynę wirtualną. Gdy wszystkie zostały wyłączone, rozpoczęło się pełne szyfrowanie bazy danych. Wszystko to powinno uświadomić administratorom systemów bazujących na platformach VM, że należy zawsze zachować ostrożność i przestrzegać na nich wysokich standardów bezpieczeństwa.

Sophos zwraca też uwagę na fakt, że Python to język kodowania, który nie jest powszechnie używany do pisania oprogramowania ransomware. Należy jednak pamiętać, że Python jest preinstalowany w systemach opartych na systemie Linux, takich jak ESXi, co umożliwia ataki na takie systemy właśnie przy użyciu tego języka. Serwery ESXi stanowią atrakcyjny cel dla cyberprzestępców, ponieważ mogą atakować wiele maszyn wirtualnych jednocześnie, gdzie na każdej z maszyn wirtualnych mogą być uruchomione aplikacje lub usługi o znaczeniu krytycznym dla firmy.