Un nuovo ceppo di malware basato su Python è stato utilizzato in una campagna "cecchino" per crittografare su un sistema aziendale in meno di tre ore.
L'attacco, uno dei più veloci registrati dai ricercatori di Sophos, è stato realizzato da operatori che hanno "precisamente mirato alla piattaforma ESXi" al fine di crittografare le macchine virtuali della vittima.
Sophos ha affermato che il malware, una nuova variante scritta in Python, è stato distribuito dieci minuti dopo che gli attori delle minacce sono riusciti a entrare in un account TeamViewer appartenente all'organizzazione della vittima.
TeamViewer è una piattaforma di controllo e accesso che può essere utilizzata dal pubblico in generale e dalle aziende per gestire e controllare PC e dispositivi mobili da remoto.
Poiché il software è stato installato su una macchina utilizzata da un utente che possedeva anche le credenziali di accesso dell'amministratore di dominio, ci sono voluti solo dieci minuti - dalle 12:30 alle 12:40 di domenica - agli aggressori per trovare un server ESXi vulnerabile adatto per il prossimo fase dell'assalto.
VMware ESXi è un hypervisor bare metal di livello aziendale utilizzato da vSphere, un sistema progettato per gestire sia i container che le macchine virtuali (VM).
I ricercatori affermano che il server ESXi era probabilmente vulnerabile allo sfruttamento a causa di una shell attiva, e questo ha portato all'installazione di Bitvise, il software SSH utilizzato, almeno legittimamente, per le attività di amministrazione del server Windows.
In questo caso, gli autori delle minacce hanno utilizzato Bitvise per attingere a ESXi e ai file del disco virtuale utilizzati dalle VM attive.
"I server ESXi hanno un servizio SSH integrato chiamato ESXi Shell che gli amministratori possono abilitare, ma normalmente è disabilitato per impostazione predefinita", afferma Sophos. "Il personale IT di questa organizzazione era abituato a utilizzare la shell ESXi per gestire il server e aveva abilitato e disabilitato la shell più volte nel mese precedente l'attacco. Tuttavia, l'ultima volta che hanno abilitato la shell, non l'hanno disabilitata."
Tre ore dopo, gli aggressori informatici sono stati in grado di distribuire il loro ransomware Python e crittografare i dischi rigidi virtuali.
Lo script utilizzato per dirottare la configurazione della VM dell'azienda era lungo solo 6 kb ma conteneva variabili tra cui diversi set di chiavi di crittografia, indirizzi e-mail e opzioni per personalizzare il suffisso utilizzato per crittografare i file in un attacco basato su ransomware.
Il malware ha creato una mappa dell'unità, ha inventariato i nomi delle VM e quindi ha spento ciascuna macchina virtuale. Una volta disabilitati tutti, è iniziata la crittografia completa del database. E' stato quindi utilizzato OpenSSL per crittografarli tutti rapidamente inviando un comando a un registro del nome di ciascuna VM sull'hypervisor.
Una volta completata la crittografia, i file originali sono stati sovrascritti con la parola f*ck e quindi eliminati.
È noto che gruppi di ransomware di grandi dimensioni, tra cui DarkSide, responsabile dell'attacco Colonial Pipeline, e REvil utilizzano questa tecnica. Sophos afferma che l'assoluta velocità di questo caso, tuttavia, dovrebbe ricordare agli amministratori IT che gli standard di sicurezza devono essere mantenuti sulle piattaforme VM e sulle reti aziendali standard.
"Python è un linguaggio di codifica non comunemente usato per i ransomware", ha commentato Andrew Brandt, ricercatore principale di Sophos. "Tuttavia, Python è preinstallato su sistemi basati su Linux come ESXi, e questo rende possibili attacchi basati su Python su tali sistemi. I server ESXi rappresentano un obiettivo attraente per gli attori delle minacce ransomware perché possono attaccare più macchine virtuali contemporaneamente, dove ciascuna delle macchine virtuali potrebbe eseguire applicazioni o servizi business-critical."
QUI potete leggere l'articolo originale.