Программа-вымогатель на Python поражает виртуальные машины в «сверхскоростных» атаках

Эксперты по кибербезопасности поделились подробностями о новой быстрой кампании вымогателей, атакующей виртуальные машины (ВМ), размещённые на гипервизоре VMware ESXi.

Программа-вымогатель на Python поражает виртуальные машины в «сверхскоростных» атаках. Фото: Pixabay

Исследователи Sophos утверждают, что злоумышленникам потребовалось менее трёх часов от взлома цели до её шифрования.

Эндрю Брандт, главный исследователь Sophos:

«Это одна из самых быстрых атак программ-вымогателей, которые когда-либо исследовала компания Sophos, и она, похоже, была нацелена на платформу ESXi»

Исследователи отмечают, что, хотя вредоносное ПО , работающее под Linux- подобной операционной системой, такой как та, которую использует ESXi, все ещё относительно редко, гипервизоры являются привлекательной целью. Виртуальные машины, которые они размещают, обычно запускают критически важные для бизнеса сервисы.

Исследователи Sophos добавляют, что даже известные операторы программ-вымогателей, такие как DarkSide и REvil, нацелены на серверы ESXi.

Однако выделяются два аспекта этой конкретной атаки: скорость, продемонстрированная злоумышленниками, и использование программы-вымогателя на Python .

Злоумышленники вошли в сеть после компрометации учётной записи TeamViewer, которая работала в фоновом режиме на компьютере, принадлежащем пользователю с учётными данными администратора домена.

Через десять минут после входа в систему злоумышленники загрузили сканер IP-адресов для отображения сети. Вскоре после идентификации сервера ESXi злоумышленники обнаружили, что сотрудники цели по ошибке забыли отключить встроенную службу SSH в ESXi.

Им не потребовалось много времени, чтобы войти в гипервизор и развернуть программу-вымогатель на Python.

Из сообщения исследователей:

«Python - это язык программирования, который обычно не используется для программ-вымогателей. Однако Python предустановлен в системах на базе Linux, таких как ESXi, и это делает возможными атаки на основе Python на такие системы»

Startpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме