Tentando manter sua guarda: ataques de ransomware centrados em Python

Publicados: 2022-01-04

No início deste ano, cientistas da Sophos determinaram uma nova ampla gama de ransomware que foi composta na linguagem de programação Python. O ataque teve como alvo o equipamento virtual (VM) hospedado no VMware ESXi, criptografando os discos digitais e deixando-os todos offline.

Aparentemente, o ransomware encontrado tem um desempenho excepcionalmente rápido e tem a capacidade de criptografar as informações do consumidor em apenas algumas horas. Na verdade, no cenário descoberto pelos cientistas da Sophos, o ataque levou apenas 3 horas.

Em um relatório sobre a descoberta, um pesquisador principal da Sophos observou que o Python é uma linguagem de codificação não usada com frequência para ransomware. De acordo com um relatório recente da divisão de Análise e Inteligência da BlackBerry, o malware é muito mais comumente feito trabalhando com linguagens como Go, DLang, Nim e Rust. Isso explicado, geralmente depende em grande parte do sistema em que um invasor está se concentrando.

A linguagem de programação Python

Antes de tudo, é importante contextualizar o significado do uso do Python no ransomware. Python é uma linguagem de script robusta, de recursos abrangentes e de recursos abertos. Em termos de sua utilização como administrador de processos, é capaz de empregar módulos para habilitar com trabalhos que são realizados continuamente.

Como é famoso pelos pesquisadores da BlackBerry, os invasores geralmente preferem linguagens que são mais jovens em sua existência e bastante desconhecidas e não analisadas. Python, por outro lado, é uma das linguagens de programação mais populares empregadas hoje em dia e foi lançada há 30 anos em 1991. Sua aceitação é devido ao seu benefício como um software para qualquer administrador de sistema. Entre outros itens, o Python pode ser de grande ajuda na execução de servidores, log e triagem para fins de Internet.

Como esse ataque foi viável?

Finalmente, o erro humano foi a causa deste ataque. Tudo começou quando os invasores conseguiram invadir uma conta do TeamViewer pertencente ao negócio da vítima. A pessoa experimentou a entrada de administrador e não tinha a autenticação multifator (MFA) habilitada.

A partir daí, o ataque incluiu a exploração de uma interface administrativa do VMware Hypervisor. Os servidores ESXi têm um suporte SSH integrado denominado ESXi Shell que os administradores podem ajudar e desabilitar conforme e quando necessário. Esse ataque ocorreu porque a assistência do shell ESXi foi ativada e permaneceu em execução.

No relatório, os pesquisadores declaram que atacar o sistema expôs um provedor de shell em execução que deveria ter sido desativado logo após o uso. Em essência, os portões para cada um dos programas operacionais da vítima estavam sendo deixados abertos.

Os funcionários de TI da organização da vítima aplicavam regularmente o ESXi Shell para lidar com o servidor e habilitavam e desabilitavam o shell várias vezes nos meses anteriores ao ataque. Por outro lado, na última vez em que ativaram o shell, não conseguiram desativá-lo mais tarde. Os criminosos tiraram proveito disso e conseguiram acessar e, portanto, criptografar todos os discos virtuais da vítima.

Se as sugestões de estabilidade do procedimento VMware tivessem sido seguidas, o procedimento teria sido seguro ou, no mínimo, teria sido mais complicado para os invasores se dividirem e, em algum momento, criptografar todo o processo.

Por que o Python foi aplicado?

O Python está se tornando progressivamente conhecido, não apenas como uma linguagem de programação de uso geral, mas também para administração de sistemas de TI. Python foi usado durante este ataque porque era fácil.

Como o Python é pré-instalado em muitas unidades de trabalho centradas no Linux, como o ESXi, o uso do Python nesta ocasião faz mais sentido.

Essencialmente, os invasores fizeram uso dos aplicativos que já existem apenas na composição do alvo do ataque. Os invasores utilizaram o script exato que o alvo estava empregando para suas tarefas administrativas do dia-a-dia.

O fato de o Python ter sido utilizado como uma ferramenta abrangente do sistema explica como o malware foi implantado em apenas 10 minutos. Isso também esclarece por que foi rotulado pelos cientistas como 'extraordinariamente rápido', todos os recursos importantes estavam esperando pelos invasores no site.

Segmentação de servidores ESXi e dispositivos virtuais

Os servidores ESXi são um objetivo atraente para os criminosos de ransomware, pois podem atacar muitas máquinas digitais imediatamente e cada um dos dispositivos digitais pode estar funcionando em vários aplicativos importantes para a empresa ou serviços especializados.

Para que um ataque seja produtivo, os agentes de ameaças precisarão acessar o conhecimento crítico da empresa. Nesse cenário, o foco na corporação experiente anteriormente agrupava tudo menos do que apenas um guarda-chuva antes da chegada dos invasores. A oportunidade de retorno do investimento financeiro do ataque é, portanto, maximizada e os servidores ESXi são um excelente alvo.

Entendendo classes preciosas

A VMware não aconselha deixar o shell ESXi em execução sem que ele seja monitorado e também pode fazer sugestões sobre privilégios de processo que não foram respeitados nessa situação. A imposição de métodos de estabilidade muito simples pode interromper ataques como esses ou, no mínimo, torná-los ainda mais difíceis.

Como regra básica de segurança na administração de técnicas de TI: quanto menos o sistema expõe, menos há para ser protegido. A configuração da técnica original e a configuração padrão não são adequadas para a segurança do programa de criação.

Se o ESXi Shell tivesse sido desativado logo após os administradores terem concluído sua operação, isso não teria ocorrido tão facilmente. Os administradores estavam acostumados a usar o ESXi Shell como um gateway respeitável para controlar os dispositivos digitais dos clientes e, portanto, agiram de maneira descuidada, deixando de fechar o portão ao sair.

Mais uma parte desta situação para se pensar do ponto de vista administrativo, é a visibilidade dos dispositivos de arquivos mundiais. Todas as partições de fatos da vítima estavam disponíveis apenas em seu sistema de arquivos interno. Sabemos que a criptografia foi concluída arquivo por arquivo. Os criminosos anexaram a criptografia essencial a cada arquivo individual e substituíram o conteúdo do arquivo principal. Um administrador de procedimentos muito mais cuidadoso poderia separar a área de detalhes dos aplicativos e dividi-la entre seu armazenamento de conhecimento e o resto do programa.

A adição de autorização de vários problemas para contas com um estágio mais alto de privilégio também encerraria os invasores de oportunidade, mas a MFA geralmente não é bem-vinda pelos diretores para uso frequente e diário.

Só não pode ser subestimado que possuir os tratamentos apropriados no local permitirá desencorajar ataques de longo prazo. Total, isso tem muito mais a ver com segurança e administração de métodos do que com Python. Nesse cenário, o Python era apenas a ferramenta mais conveniente de usar, e deu aos invasores acesso a todas as máquinas digitais com procedimentos amplos.

Piotr Landowski, Supervisor de Envio de Serviços, STX Próximos