Operadores de uma gangue de ransomware desconhecida estão usando um script Python para criptografar máquinas virtuais hospedadas em servidores VMware ESXi.
Embora a linguagem de programação Python não seja comumente usada no desenvolvimento de ransomware, é uma escolha lógica para sistemas ESXi, visto que tais servidores baseados em Linux vêm com Python instalado por padrão.
Como os pesquisadores da Sophos descobriram recentemente enquanto investigavam um incidente de ransomware, um script de ransomware Python foi usado para criptografar as máquinas virtuais de uma vítima em execução em um hipervisor ESXi vulnerável três horas após a violação inicial.
“Uma investigação recentemente concluída sobre um ataque de ransomware revelou que os invasores executaram um script Python personalizado no hipervisor da máquina virtual do alvo para criptografar todos os discos virtuais, deixando as VMs da organização offline”, disse o pesquisador principal da SophosLabs, Andrew Brandt .
“No que foi um dos ataques mais rápidos que a Sophos investigou, desde o momento do comprometimento inicial até a implantação do script de ransomware, os invasores passaram apenas pouco mais de três horas na rede do alvo antes de criptografar os discos virtuais em um servidor VMware ESXi . “
VMs criptografadas usando um script de 6kb
No meio da noite, os atacantes violaram a rede da vítima no fim de semana, fazendo login em uma conta TeamViewer em execução em um dispositivo com um administrador de domínio conectado.
Uma vez lá, eles começaram a pesquisar a rede por alvos adicionais usando o Advanced IP Scanner e se conectaram a um servidor ESXi por meio do serviço SSH ESXi Shell integrado, que foi acidentalmente ativado pela equipe de TI (embora esteja desativado por padrão).
Os operadores de ransomware então executaram um script Python de 6kb para criptografar o disco virtual de todas as máquinas virtuais e os arquivos de configurações de VM.
O script, parcialmente recuperado durante a investigação do incidente, permite que os operadores de ransomware usem várias chaves de criptografia e endereços de e-mail e personalizem o sufixo do arquivo para os arquivos criptografados.
Funciona desligando as máquinas virtuais, sobrescrevendo os arquivos originais armazenados nos volumes do armazenamento de dados e, em seguida, excluindo-os para bloquear as tentativas de recuperação e deixando os arquivos criptografados para trás.
“Os administradores que operam ESXi ou outros hipervisores em suas redes devem seguir as melhores práticas de segurança, evitando a reutilização de senhas e usando senhas complexas e difíceis de força bruta de comprimento adequado”, recomendou Brandt.
“Sempre que possível, habilite o uso de autenticação multifator e imponha o uso de MFA para contas com permissões altas, como administradores de domínio.”
A VMware também fornece conselhos sobre como proteger os servidores ESXi , limitando o risco de acesso não autorizado e a superfície de ataque no próprio hipervisor.
Servidores VMware ESXi sob ataque
O ataque a servidores ESXi é uma tática altamente prejudicial para grupos de ransomware, já que a maioria deles executa várias máquinas virtuais simultaneamente, com serviços e aplicativos essenciais para os negócios implantados em muitos deles.
Várias gangues de ransomware, incluindo Darkside, RansomExx e Babuk Locker, exploraram bugs RCE de pré-autenticação do VMWare ESXi para criptografar discos rígidos virtuais usados como espaço de armazenamento corporativo centralizado.
Este não é o primeiro incidente em que ferramentas maliciosas baseadas em Python foram usadas para visar servidores VMware expostos na Internet.
Em junho, os pesquisadores identificaram o malware multi-plataforma FreakOut baseado em Python voltado para dispositivos Windows e Linux atualizados para worm em servidores VMware vCenter sem correção contra um bug RCE crítico em todas as instalações padrão.
FreakOut é um script Python ofuscado, projetado para evitar a detecção com a ajuda de um mecanismo polimórfico e um rootkit em modo de usuário que oculta arquivos maliciosos colocados em sistemas infectados.
Versões Linux de HelloKitty e BlackMatter ransomware também foram detectadas em julho e agosto, ambos voltados para a plataforma de máquina virtual ESXi da VMware.
Para piorar ainda mais as coisas, com o VMware ESXi sendo uma das plataformas de máquina virtual empresarial mais, senão a mais popular, quase todas as gangues de ransomware voltadas para empresas começaram a desenvolver seus criptografadores projetados especificamente para máquinas virtuais ESXi.
Contato
Proteja já suas informações com o GBackup.
Conheça mais sobre nossa solução e receba um orçamento de acordo com sua necessidade.
Utilize os campos abaixo para entrar em contato com nossa equipe.
