Nový Python ransomware pro šifrování disků cílí na virtuální počítače a na hypervizory ESXi

V rámci jednoho z nejrychlejších útoků, které Sophos zkoumal, strávili útočníci v cílené síti jen něco málo přes tři hodiny, než zašifrovali virtuální disky na serveru VMware ESXi.

1. 11. 2021

Sophos uvedl, že nová varianta malwaru napsaná v programovacím jazyce Python byla nasazena deset minut poté, co se útočníkům podařilo dostat do účtu TeamViewer patřícího organizaci.

TeamViewer je platforma pro ovládání a přístup, kterou mohou využívat široká veřejnost i podniky ke vzdálené správě počítačů a mobilních zařízení.

Vzhledem k tomu, že software se nacházel na zařízení zaměstnance organizace, který vlastnil přístupové údaje správce domény, trvalo útočníkům pouze deset minut najít zranitelný server ESXi vhodný pro další fáze útoku.

Servery ESXi mají zabudovanou službu SSH s názvem ESXi Shell, kterou mohou administrátoři povolit, ale ve výchozím nastavení je obvykle deaktivována. Pracovníci IT této organizace byli zvyklí používat ESXi Shell ke správě serveru a v měsíci před útokem ji několikrát povolili a zakázali. Avšak když službu Shell povolili naposledy, později ji nedokázali deaktivovat. Hackeři využili této náhodné situace, kdy byla služba aktivní.

Tři hodiny poté mohli kybernetičtí útočníci nasadit svůj Python ransomware a zašifrovat virtuální pevné disky. Skript použitý k převzetí kontroly nad funkcemi virtuálního počítače společnosti měl pouze 6 kB, ale obsahoval proměnnévčetně různých sad šifrovacích klíčů, e-mailových adres a možností přizpůsobení přípony používané k šifrování souborů při ransomwarovém útoku.

Malware vytvořil mapu disku, inventarizoval názvy virtuálních počítačů a poté každý z nich vypnul. Jakmile byly všechny deaktivovány, začalo úplné šifrování databáze.

Na základě zadání příkazu do protokolu názvu každého virtuálního počítače na hypervisoru je následně útočníci pomocí OpenSSL rychle zašifrovali. Jakmile bylo šifrování dokončeno, průzkumné soubory byly přepsány slovem „f*ck“ a poté byly odstraněny.

Rychlost tohoto případu by měla správcům IT připomenout, že je třeba udržovat bezpečnostní standardy na platformách VM i firemních sítích.

Správci, kteří ve svých sítích provozují ESXi nebo jiné hypervizory, by měli dodržovat osvědčené postupy zabezpečení, vyhýbat se opakovanému používání hesel a používat složitá hesla s adekvátní délkou. Kdykoli je to možné, je vhodné povolit používání vícefaktorového ověřování a využívání MFA pro účty, které mají vysoká oprávnění (např. správce domény).

Společnost VMware také zveřejnila seznam osvědčených postupů pro správce, jak zabezpečit své hypervisory ESXi a jak omezit samotné útoky.

Zdroje

VISITECH a.s. 2021 © Všechna práva vyhrazena

Vectors by Vecteezy & Freepik.