Le nouveau ransomware Python cible les machines virtuelles et les hyperviseurs ESXi pour chiffrer les disques

  • Oct 29, 2023

En ciblant ESXi, le chiffrement a été réalisé en moins de trois heures sur un réseau d'entreprise.

Une nouvelle souche de malware basé sur Python a été utilisée dans une campagne de « sniper » pour réaliser le chiffrement d'un système d'entreprise en moins de trois heures.

Sécurité

  • 8 habitudes des travailleurs à distance hautement sécurisés
  • Comment trouver et supprimer les logiciels espions de votre téléphone
  • Les meilleurs services VPN: comment se comparent les 5 meilleurs?
  • Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite

L'attaque, l'une des plus rapides enregistrées par Chercheurs Sophos, a été réalisé par des opérateurs qui ont « ciblé avec précision la plateforme ESXi » afin de chiffrer les machines virtuelles de la victime.

Mardi, Sophos a déclaré que le malware, une nouvelle variante écrite en Python, avait été déployé dix minutes après que les acteurs malveillants aient réussi à s'introduire dans un compte TeamViewer appartenant à l'organisation victime.

TeamViewer est une plateforme de contrôle et d'accès qui peut être utilisée par le grand public et les entreprises pour gérer et contrôler à distance les PC et les appareils mobiles.

Comme le logiciel a été installé sur une machine utilisée par une personne qui possédait également les identifiants d'accès de l'administrateur de domaine, il n'a fallu que dix minutes. minutes -- de 00h30 à 00h40 le dimanche -- permettant aux attaquants de trouver un serveur ESXi vulnérable adapté à la prochaine étape du processus. agression.

VMware ESXi est un hyperviseur sans système d'exploitation de niveau entreprise utilisé par vSphere, un système conçu pour gérer à la fois les conteneurs et les machines virtuelles (VM).

Les chercheurs affirment que le serveur ESXi était probablement vulnérable aux exploits en raison d'un shell actif, ce qui a conduit à l'installation de Bitvise, logiciel SSH utilisé - au moins légitimement - pour l'administration du serveur Windows Tâches.

Dans ce cas, les auteurs de la menace ont utilisé Bitvise pour accéder à ESXi et aux fichiers de disque virtuel utilisés par les machines virtuelles actives.

« Les serveurs ESXi disposent d'un service SSH intégré appelé ESXi Shell que les administrateurs peuvent activer, mais qui est normalement désactivé par défaut », explique Sophos. « Le personnel informatique de cette organisation était habitué à utiliser ESXi Shell pour gérer le serveur et avait activé et désactivé le shell à plusieurs reprises au cours du mois précédant l'attaque. Cependant, la dernière fois qu’ils ont activé le shell, ils n’ont pas réussi à le désactiver par la suite. »

Après trois heures, les cyberattaquants ont pu déployer leur ransomware Python et chiffrer les disques durs virtuels.

Le script utilisé pour pirater la configuration de la VM de l'entreprise ne faisait que 6 Ko mais contenait des variables comprenant différents ensembles de clés de chiffrement, adresses e-mail et options de personnalisation du suffixe utilisé pour chiffrer les fichiers lors d'une attaque basée sur un ransomware.

Le malware a créé une carte du lecteur, inventorié les noms des machines virtuelles, puis a mis chaque machine virtuelle hors tension. Une fois qu’ils furent tous désactivés, le cryptage complet de la base de données commença. OpenSSL a ensuite été armé pour les chiffrer tous rapidement en émettant une commande dans un journal du nom de chaque VM sur l'hyperviseur.

Une fois le cryptage terminé, les fichiers de reconnaissance ont été écrasés par le mot f*ck puis supprimés.

Des groupes de ransomwares de grande taille, dont DarkSide, responsable de la Pipeline colonial Attack – et REvil sont connus pour utiliser cette technique. Sophos affirme cependant que la rapidité de cette affaire devrait rappeler aux administrateurs informatiques que les normes de sécurité doivent être maintenues sur les plates-formes VM ainsi que sur les réseaux d'entreprise standard.

"Python est un langage de codage peu utilisé pour les ransomwares", a commenté Andrew Brandt, chercheur principal chez Sophos. "Cependant, Python est préinstallé sur les systèmes basés sur Linux tels qu'ESXi, ce qui rend les attaques basées sur Python possibles sur de tels systèmes. Les serveurs ESXi représentent une cible attrayante pour les acteurs de la menace de ransomware, car ils peuvent attaquer plusieurs serveurs virtuels. machines à la fois, où chacune des machines virtuelles pourrait exécuter des applications ou des services critiques pour l'entreprise.

Couverture antérieure et connexe

  • C'est la victime idéale du ransomware, selon les cybercriminels
  • Les gangs de ransomwares se plaignent que d'autres escrocs volent leurs rançons
  • Qu’est-ce qu’un ransomware? Tout ce que vous devez savoir sur l’une des plus grandes menaces du Web

Vous avez un conseil ? Contactez-nous en toute sécurité via WhatsApp | Signalez au +447713 025 499, ou sur Keybase: charlie0