Tentare di mantenere alta la guardia: attacchi ransomware incentrati su Python
Pubblicato: 2022-01-04
All'inizio di quest'anno, gli scienziati di Sophos hanno determinato una nuova vasta gamma di ransomware che è stata composta nel linguaggio di programmazione Python. L'assalto ha preso di mira le apparecchiature virtuali (VM) ospitate da VMware ESXi, crittografando i dischi digitali e rendendoli tutti offline.
Apparentemente, il ransomware trovato ha prestazioni insolitamente veloci e ha la possibilità di crittografare le informazioni dei consumatori in poche ore. In realtà, nello scenario scoperto dagli scienziati di Sophos, l'attacco è durato solo 3 diverse ore.
In un rapporto sulla scoperta, un ricercatore principale di Sophos ha osservato che Python è un linguaggio di codifica non utilizzato frequentemente per i ransomware. Secondo un recente rapporto della divisione Analysis & Intelligence di BlackBerry, il malware è molto più tipicamente realizzato per funzionare con linguaggi come Go, DLang, Nim e Rust. Ciò spiegato, di solito dipende in gran parte dal sistema su cui si sta concentrando un utente malintenzionato.
Il linguaggio di programmazione Python
Prima di tutto, è importante contestualizzare il significato dell'uso di Python nei ransomware. Python è un linguaggio di scripting robusto, con funzionalità complete e open-source. Nelle frasi del suo utilizzo come amministratore di procedure, è in grado di utilizzare moduli per abilitare con lavori che vengono eseguiti continuamente.
Come noto dai ricercatori di BlackBerry, gli aggressori generalmente prediligono le lingue che sono più giovani nella loro esistenza e abbastanza sconosciute e non analizzate. Python d'altra parte è uno dei linguaggi di programmazione più popolari utilizzati al giorno d'oggi ed è stato lanciato 30 anni fa nel 1991. La sua accettazione è dovuta al suo vantaggio come software per qualsiasi amministratore di sistema. Tra gli altri elementi, Python può essere di grande aiuto con l'esecuzione di server, la registrazione e lo screening di scopi Internet.
Come è stato possibile questo attacco?
Infine, l'errore umano è stato la causa di questo assalto. È iniziato quando gli aggressori sono riusciti a violare un account TeamViewer appartenente all'azienda vittima. La persona ha avuto accesso all'amministratore e non aveva abilitato l'autenticazione a più fattori (MFA).
Successivamente, l'assalto includeva lo sfruttamento di un'interfaccia amministrativa VMware Hypervisor. I server ESXi hanno un supporto SSH integrato chiamato ESXi Shell che gli amministratori possono aiutare e disabilitare quando e quando necessario. Questo assalto è emerso perché l'assistenza della shell ESXi è stata abilitata e quindi è rimasta in esecuzione.
Nel rapporto, i ricercatori dichiarano che l'attacco al sistema ha esposto un provider di shell in esecuzione che avrebbe dovuto essere disabilitato subito dopo l'uso. In sostanza, i cancelli di ciascuno dei programmi operativi della vittima venivano lasciati aperti.
I dipendenti IT dell'organizzazione vittima hanno applicato regolarmente la shell ESXi per gestire il server e hanno abilitato e disabilitato la shell diverse volte nei mesi precedenti l'attacco. D'altra parte, l'ultima volta che hanno abilitato la shell, non sono riusciti a disabilitarla in seguito. I criminali ne hanno tratto vantaggio e sono stati in grado di accedere e quindi crittografare tutti i dischi virtuali della vittima.
Se i suggerimenti sulla stabilità della procedura VMware fossero stati seguiti, la procedura sarebbe stata sicura o almeno sarebbe stato più complicato per gli aggressori dividersi e, a un certo punto, crittografare l'intero processo.
Perché è stato applicato Python?
Python sta diventando progressivamente famoso, non solo come linguaggio di programmazione generico ma anche per l'amministrazione dei sistemi IT. Python è stato utilizzato nel corso di questo attacco perché era privo di problemi.
Poiché Python è preinstallato su molte unità di lavoro incentrate su Linux come ESXi, l'uso di Python in questa occasione ha più senso.
In sostanza, gli aggressori hanno utilizzato le applicazioni già esistenti solo nella composizione del bersaglio dell'attacco. Gli aggressori hanno utilizzato lo script esatto che l'obiettivo stava ormai utilizzando per i suoi compiti amministrativi quotidiani.
Il punto in cui Python è stato utilizzato come strumento completo di sistema spiega come il malware è stato distribuito in soli 10 minuti. Questo chiarisce anche perché è stato etichettato dagli scienziati come "insolitamente veloce", tutte le risorse importanti erano in attesa degli aggressori sul sito web.
Targeting di server ESXi e dispositivi virtuali
I server ESXi sono un obiettivo interessante per i criminali ransomware poiché possono aggredire molte macchine digitali non appena e ogni singolo dispositivo digitale potrebbe funzionare con una serie di applicazioni importanti per l'azienda o servizi esperti.
Affinché un assalto sia produttivo, gli attori delle minacce dovranno accedere alle conoscenze critiche dell'azienda. In questo scenario, la concentrazione sulle multinazionali sperimentata in precedenza ha raggruppato tutto meno di un solo ombrello prima dell'arrivo degli aggressori. L'opportunità di ritorno dell'investimento finanziario derivante dall'attacco è per questo motivo massimizzata ei server ESXi rappresentano l'obiettivo eccellente.
Capire classi preziose
VMware sconsiglia di lasciare in esecuzione la shell ESXi senza che venga monitorata e può anche fornire suggerimenti su tutti i privilegi di processo che non sono stati rispettati in questa circostanza. Imporre metodi di stabilità molto semplici potrebbe fermare attacchi come questi o almeno renderli più difficili.
Come regola di sicurezza di base nell'amministrazione delle tecniche IT: meno espone il sistema, meno c'è da proteggere. L'impostazione della tecnica originale e la configurazione predefinita non sono adeguate per la sicurezza del programma di creazione.
Se l'ESXi Shell fosse stato disabilitato subito dopo che gli amministratori avevano completato la loro operazione, non sarebbe avvenuto in modo così conveniente. Gli amministratori erano abituati a utilizzare ESXi Shell come un gateway rispettabile per controllare i dispositivi digitali dei clienti e quindi hanno agito in modo negligente, non riuscendo a chiudere il cancello mentre uscivano.
Un'altra parte di questa situazione a cui pensare da un punto di vista amministrativo, è la visibilità mondiale dei dispositivi di file. Tutte le partizioni dei fatti della vittima erano disponibili solo nel loro filesystem interno. Sappiamo che la crittografia è stata completata file per file. I criminali hanno allegato la crittografia essenziale a ogni singolo file e hanno sovrascritto il contenuto del file principale. Un amministratore della procedura molto più attento potrebbe separare l'area dei dettagli dalle applicazioni e dividerla tra la loro memoria di conoscenza e il resto del programma.
L'aggiunta dell'autorizzazione multi-problema per gli account con uno stadio di privilegio più elevato eliminerebbe anche gli attaccanti di opportunità, ma l'AMF generalmente non è gradita dai direttori per un uso frequente e quotidiano.
Non si può semplicemente sottovalutare il fatto che possedere i trattamenti appropriati in atto consentirà di scoraggiare attacchi a lungo termine. In totale, questo ha molto più a che fare con la sicurezza e l'amministrazione dei metodi che con Python. In questo scenario, Python era solo lo strumento più conveniente da usare e offriva agli aggressori un'ampia procedura per tutte le macchine digitali.
Piotr Landowski, Service Shipping Supervisor, STX Prossimamente