Pesquisadores da Sophos descobriram um novo ransomware que utiliza código Python para sequestrar dados de servidores VMware ESXi e máquinas virtuais (VMs) levando menos de três horas da violação inicial à criptografia total dos sistemas.
VEJA TAMBÉM: Necro Python Bot é atualizado para explorar falha em servidores VMware e minerar criptomoedas
Diferentemente dos ataques tradicionais em que criminosos cibernéticos podem demorar dias ou até mesmo semanas analisando redes e coletando arquivos antes de invadir uma empresa, neste caso o ataque acontece de forma muito rápida, se aproveitando de erros na configuração de servidores.
Andrew Brandt, pesquisador principal da SophosLabs, afirma:
Uma investigação recentemente concluída sobre um ataque de ransomware revelou que os invasores executaram um script Python personalizado no gerenciador da máquina virtual do alvo para criptografar todos os discos virtuais, deixando offline as VMs da organização.
Esse foi um dos ataques mais rápidos que a Sophos investigou. Desde o momento do comprometimento inicial até a implementação do script de ransomware, os invasores passaram pouco mais de três horas na rede do alvo antes de criptografar os discos virtuais em um servidor VMware ESXi .
VMs criptografadas com um script de 6kb
Em um dos casos avaliados, os hackers invadiram a rede da vítima através do sistema de acesso remoto TeamViewer que estava rodando em uma máquina com privilégios de administração.
Depois de conseguir acesso a rede, os invasores começaram a pesquisar por alvos adicionais usando o Advanced IP Scanner e se conectaram a um servidor ESXi por meio do serviço SSH ESXi Shell integrado. Andrew Brandt, completa:
Os servidores ESXi têm um serviço SSH integrado chamado ESXi Shell que os administradores podem habilitar, mas normalmente é desabilitado por padrão.
A equipe de TI desta organização estava acostumada a usar o ESXi Shell para gerenciar o servidor e havia habilitado e desabilitado o shell várias vezes no mês anterior ao ataque. No entanto, a última vez que eles habilitaram o shell, eles não o desabilitaram depois.
Os hackers então executaram um script Python de 6kb para criptografar o disco virtual de todas as máquinas virtuais e os arquivos de configurações.
O script, parcialmente recuperado durante a investigação, permite que os operadores do ransomware usem várias chaves de criptografia e endereços de e-mail e personalizem o sufixo do dos arquivos criptografados.
Por fim, Brandt conclui:
Os administradores que operam ESXi ou outros hipervisores em suas redes devem seguir as melhores práticas de segurança, evitando a reutilização de senhas e usando senhas complexas e difíceis de se quebrar usando força bruta.
Python é uma linguagem de codificação não muito utilizada para ransomware. No entanto, o Python é pré-instalado em sistemas Linux, como ESXi, e isso torna os ataques em Python possíveis em tais sistemas. Os servidores ESXi representam um alvo atraente porque podem atacar várias máquinas virtuais ao mesmo tempo, onde cada uma pode estar executando aplicativos ou serviços essenciais para os negócios.
Fonte: BleepingComputer e CanalTech
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
