Операторы неизвестной банды вымогателей используют скрипт Python для шифрования виртуальных машин, размещенных на серверах VMware ESXi.
Хотя язык программирования Python обычно не используется при разработке программ-вымогателей, это логичный выбор для систем ESXi, учитывая, что такие серверы на базе Linux поставляются с Python, установленным по умолчанию.
Как недавно обнаружили исследователи Sophos при расследовании инцидента с программой-вымогателем, скрипт программы-вымогателя Python использовался для шифрования виртуальных машин жертвы, работающих на уязвимом гипервизоре ESXi, в течение трех часов после первого взлома.
«Недавно завершившееся расследование атаки программ-вымогателей показало, что злоумышленники выполнили специальный сценарий Python на гипервизоре виртуальной машины цели, чтобы зашифровать все виртуальные диски, отключив виртуальные машины организации», — сказал главный исследователь SophosLabs Эндрю Брандт.
«В ходе одной из самых быстрых атак, исследованных Sophos, с момента первоначального взлома до развертывания сценария вымогателя злоумышленники провели в сети цели чуть более трех часов, прежде чем зашифровать виртуальные диски на сервере VMware ESXi. . »
Виртуальные машины зашифрованы с помощью сценария размером 6 КБ
Посреди ночи злоумышленники взломали сеть жертвы на выходных, войдя в учетную запись TeamViewer, запущенную на устройстве с авторизованным администратором домена.
Оказавшись внутри, они начали поиск в сети дополнительных целей с помощью Advanced IP Scanner и вошли на сервер ESXi через встроенную службу SSH ESXi Shell, которая была случайно оставлена включенной ИТ-персоналом (хотя по умолчанию она отключена).
Затем операторы программ-вымогателей выполнили сценарий Python размером 6 КБ для шифрования виртуальных дисков всех виртуальных машин и файлов настроек виртуальных машин.
Сценарий, частично восстановленный во время расследования инцидента, позволяет операторам программ-вымогателей использовать несколько ключей шифрования и адресов электронной почты и настраивать суффикс файла для зашифрованных файлов.
Он работает, выключая виртуальные машины, перезаписывая исходные файлы, хранящиеся на томах хранилища данных, затем удаляя их, чтобы заблокировать попытки восстановления, и оставляя зашифрованные файлы позади.
«Администраторы, использующие ESXi или другие гипервизоры в своих сетях, должны следовать лучшим практикам безопасности, избегать повторного использования паролей и использовать сложные, трудные для перебора пароли соответствующей длины», — рекомендовал Брандт.
«По возможности включите использование многофакторной аутентификации и принудительно используйте MFA для учетных записей с высокими разрешениями, таких как администраторы домена».
VMware также дает советы по обеспечению безопасности серверов ESXi , ограничивая риск несанкционированного доступа и поверхности атаки на самом гипервизоре.
Серверы VMware ESXi подвергаются атаке
Атака на серверы ESXi — очень разрушительная тактика для групп программ-вымогателей, поскольку большинство из них запускают несколько виртуальных машин одновременно, на многих из которых развернуты критически важные для бизнеса службы и приложения.
Множественные банды вымогателей, в том числе Darkside, RansomExx и Babuk Locker, использовали ошибки предварительной авторизации RCE в VMWare ESXi для шифрования виртуальных жестких дисков, используемых в качестве централизованного корпоративного хранилища.
Это не первый случай, когда вредоносные инструменты на основе Python использовались для нацеливания на серверы VMware, доступные в Интернете.
В июне исследователи обнаружили многоплатформенное вредоносное ПО FreakOut на основе Python, нацеленное на устройства Windows и Linux, обновленное для проникновения на серверы VMware vCenter, не исправленное для устранения критической ошибки RCE во всех установках по умолчанию.
FreakOut — это запутанный скрипт Python, предназначенный для уклонения от обнаружения с помощью полиморфного движка и руткита пользовательского режима, скрывающего вредоносные файлы, попавшие в зараженные системы.
Версии программ- вымогателей HelloKitty и BlackMatter для Linux также были замечены в дикой природе в июле и августе, и обе они были нацелены на платформу виртуальных машин VMware ESXi.
Что еще хуже, поскольку VMware ESXi является одной из самых, если не самых популярных платформ корпоративных виртуальных машин, почти каждая банда программ-вымогателей, нацеленная на предприятия, начала разрабатывать свои шифраторы, специально предназначенные для виртуальных машин ESXi.
Последнее обновление 05.01.2023
