Mencoba untuk tetap waspada: Serangan ransomware yang berpusat pada Python
Diterbitkan: 2022-01-04
Awal tahun ini, para ilmuwan di Sophos menentukan berbagai ransomware baru yang disusun dalam bahasa pemrograman Python. Serangan itu menargetkan Peralatan Virtual (VM) yang dihosting VMware ESXi, mengenkripsi disk digital dan membuat semuanya offline.
Rupanya, ransomware yang ditemukan berkinerja sangat cepat dan memiliki kemungkinan untuk mengenkripsi informasi konsumen hanya dalam beberapa jam. Kenyataannya, dalam skenario yang ditemukan oleh para ilmuwan Sophos, serangan itu hanya memakan waktu 3 jam.
Dalam sebuah laporan tentang penemuan tersebut, seorang peneliti utama di Sophos mengamati bahwa Python adalah bahasa pengkodean yang tidak sering digunakan untuk ransomware. Menurut laporan terbaru dari divisi Analisis & Intelijen BlackBerry, malware biasanya dibuat bekerja dengan bahasa seperti Go, Dlang, Nim, dan Rust. Itu menjelaskan, biasanya sangat tergantung pada sistem yang menjadi fokus penyerang.
Bahasa pemrograman Python
Pertama-tama, penting untuk mengontekstualisasikan pentingnya penggunaan Python di ransomware. Python adalah bahasa scripting yang open-source, berfitur lengkap, dan kuat. Dalam hal penggunaannya sebagai administrator prosedur, ia mampu menggunakan modul untuk mengaktifkan dengan pekerjaan yang dilakukan terus menerus.
Seperti yang terkenal oleh para peneliti di BlackBerry, penyerang umumnya menyukai bahasa yang lebih muda keberadaannya dan cukup tidak dikenal dan tidak dianalisis. Python di sisi lain adalah salah satu bahasa pemrograman paling populer yang digunakan saat ini dan diluncurkan 30 tahun yang lalu pada tahun 1991. Penerimaannya adalah karena manfaatnya sebagai perangkat lunak untuk administrator sistem apa pun. Di antara hal-hal lain, Python dapat sangat membantu dengan menjalankan server, mencatat dan menyaring tujuan Internet.
Bagaimana serangan ini bisa dilakukan?
Akhirnya, kesalahan manusia adalah penyebab serangan ini. Ini dimulai ketika penyerang berhasil membobol akun TeamViewer milik bisnis korban. Orang tersebut mengalami entri admin dan tidak mengaktifkan otentikasi multi-faktor (MFA).
Setelah itu, serangan itu termasuk eksploitasi antarmuka VMware Hypervisor administratif. Server ESXi memiliki dukungan SSH built-in yang disebut ESXi Shell yang dapat dibantu dan dinonaktifkan oleh administrator jika diperlukan. Serangan ini terjadi karena bantuan shell ESXi diaktifkan dan kemudian tetap berjalan.
Dalam laporan tersebut, para peneliti menyatakan bahwa menyerang sistem mengekspos penyedia shell yang berjalan yang seharusnya dinonaktifkan segera setelah digunakan. Intinya, pintu setiap program operasi korban dibiarkan terbuka.
Karyawan TI organisasi korban secara teratur menerapkan ESXi Shell untuk menangani server dan mengalami mengaktifkan dan menonaktifkan shell beberapa kali dalam beberapa bulan sebelum serangan. Di sisi lain, terakhir kali mereka mengaktifkan shell, mereka tidak berhasil menonaktifkannya nanti. Para penjahat mengambil keuntungan dari ini dan berada dalam posisi untuk mengakses dan karenanya mengenkripsi semua disk virtual korban.
Seandainya saran stabilitas prosedur VMware dipatuhi, prosedurnya akan aman atau paling tidak akan lebih sulit bagi penyerang untuk memecah dan pada titik tertentu mengenkripsi proses penuh.
Mengapa Python diterapkan?
Python menjadi semakin terkenal, tidak hanya sebagai bahasa pemrograman tujuan umum tetapi juga untuk administrasi sistem TI. Python digunakan selama serangan ini karena tidak merepotkan.
Karena Python sudah dipasang di banyak unit kerja berbasis Linux seperti ESXi, penggunaan Python dalam kesempatan ini paling masuk akal.
Pada dasarnya, penyerang memanfaatkan aplikasi yang sudah ada hanya sebagai target serangan. Penyerang menggunakan skrip yang tepat yang sekarang digunakan target untuk tugas administrasi sehari-harinya.
Poin bahwa Python digunakan sebagai alat sistem ekstensif menjelaskan bagaimana malware dikerahkan hanya dalam 10 menit. Ini juga menjelaskan mengapa itu diberi label oleh para ilmuwan sebagai 'sangat cepat', semua sumber daya penting menunggu penyerang di situs web.
Menargetkan server ESXi dan perangkat virtual
Server ESXi adalah tujuan yang menarik bagi penjahat ransomware karena mereka dapat menyerang banyak mesin digital segera dan setiap perangkat digital dapat menjalankan sejumlah aplikasi penting perusahaan atau layanan ahli.
Agar serangan menjadi produktif, pelaku ancaman perlu mengakses pengetahuan kritis bisnis. Dalam skenario ini, konsentrasi pada perusahaan yang sebelumnya mengelompokkan semuanya kurang dari satu payung sebelum kedatangan penyerang. Peluang pengembalian investasi finansial dari serangan itu karena alasan itu dimaksimalkan dan server ESXi menjadi target yang sangat baik.
Memahami kelas yang berharga
VMware tidak menyarankan untuk membiarkan shell ESXi berjalan tanpa dipantau dan juga dapat memberikan saran tentang hak istimewa proses yang tidak dipatuhi dalam situasi ini. Menerapkan metode stabilitas yang sangat sederhana dapat menghentikan serangan seperti ini atau setidaknya membuatnya lebih keras.
Sebagai aturan keamanan dasar dalam administrasi teknik TI: semakin sedikit sistem yang terekspos, semakin sedikit yang harus diamankan. Pengaturan teknik asli dan konfigurasi default tidak memadai untuk keamanan program pembuatan.
Jika ESXi Shell telah dinonaktifkan setelah administrator menyelesaikan operasinya, itu tidak akan terjadi dengan mudah. Administrator telah terbiasa menggunakan ESXi Shell sebagai gerbang terhormat untuk mengontrol perangkat digital klien dan karena itu bertindak dengan cara yang ceroboh, gagal menutup gerbang saat mereka keluar.
Satu lagi bagian dari situasi ini untuk dipikirkan dari sudut pandang administratif, adalah visibilitas perangkat file dunia. Semua partisi fakta korban tersedia hanya dalam sistem file di dalamnya. Kami tahu enkripsi selesai file demi file. Penjahat melampirkan enkripsi penting untuk setiap file individu dan menimpa konten file utama. Administrator prosedur yang jauh lebih hati-hati dapat memecah area detail dari aplikasi dan membaginya di antara penyimpanan pengetahuan mereka dan sisa program.
Menambahkan Otorisasi Multi-Masalah untuk akun dengan tingkat hak istimewa yang lebih tinggi juga akan menghentikan penyerang peluang, tetapi MFA umumnya tidak disukai oleh direktur karena sering digunakan setiap hari.
Tidak dapat diremehkan bahwa memiliki perawatan yang tepat akan memungkinkan untuk mencegah serangan jangka panjang. Total, ini jauh lebih berkaitan dengan keamanan dan administrasi metode daripada dengan Python. Dalam skenario ini, Python hanyalah alat yang paling nyaman untuk digunakan, dan itu memberi penyerang akses ke semua mesin digital prosedur yang luas.
Piotr Landowski, Supervisor Pengiriman Layanan, STX Mendatang