Los investigadores de Sophos han descubierto un nuevo ransomware que utiliza código Python para secuestrar datos de servidores VMware ESXi y máquinas virtuales (VM) que demoran menos de tres horas desde la violación inicial hasta el cifrado completo del sistema
La diferencia de los ataques tradicionales en los que los ciberdelincuentes pueden pasar días o incluso semanas analizando redes y recopilando archivos antes de irrumpir en una empresa, en este caso el ataque ocurre muy rápido, aprovechando los errores en la configuración del servidor.
Andrew Brandt, investigador principal de SophosLabs, dice:
Una investigación completada recientemente sobre un ataque de ransomware reveló que los atacantes ejecutaron un script Python personalizado en el administrador de la máquina virtual del objetivo para cifrar todos los discos virtuales, desconectando las máquinas virtuales de la organización.
Este fue uno de los ataques más rápidos que investigó Sophos. Desde el momento del compromiso inicial hasta la implementación del script de ransomware, los atacantes pasaron poco más de tres horas en la red del objetivo antes de cifrar los discos virtuales en un servidor VMware ESXi.
VMs cifradas con un script de 6 kb
En uno de los casos evaluados, los piratas informáticos irrumpieron en la red de la víctima a través del sistema de acceso remoto TeamViewer que se ejecutaba en una máquina con privilegios de administración.
Después de obtener acceso a la red, los atacantes comenzaron a buscar objetivos adicionales utilizando Advanced IP Scanner y se conectaron a un servidor ESXi a través del servicio SSH ESXi Shell integrado. Andrew Brandt, completo:
Los servidores ESXi tienen un servicio SSH integrado llamado ESXi Shell que los administradores pueden habilitar, pero generalmente está deshabilitado de manera predeterminada.
El personal de TI de esta organización estaba acostumbrado a usar ESXi Shell para administrar el servidor y había habilitado y deshabilitado el shell varias veces en el mes anterior al ataque. Sin embargo, la última vez que habilitaron el shell, no lo deshabilitaron después.
Luego, los piratas informáticos ejecutaron un script Python de 6 kb para cifrar el disco virtual y los archivos de configuración de todas las máquinas virtuales.
El script, recuperado parcialmente durante la investigación, permite a los operadores de ransomware utilizar varias claves de cifrado y direcciones de correo electrónico y personalizar el sufijo de los archivos cifrados.
Finalmente, Brandt concluye:
Los administradores que operan ESXi u otros hipervisores en sus redes deben seguir las mejores prácticas de seguridad, evitando la reutilización de contraseñas y utilizando contraseñas complejas que son difíciles de descifrar mediante la fuerza bruta.
Python es un lenguaje de codificación no utilizado para ransomware. Sin embargo, Python está preinstalado en sistemas Linux como ESXi, y esto hace que los ataques de Python sean posibles en dichos sistemas. Los servidores ESXi representan un objetivo atractivo porque pueden atacar múltiples máquinas virtuales al mismo tiempo, donde cada una puede estar ejecutando aplicaciones o servicios críticos para el negocio.
Fuente: BleepingComputer e CanalTech
Cuente con International IT para proteger a su empresa de los ciberataques con lo mejor del mercado.
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
