Încercarea de a ține garda sus: atacuri ransomware centrate pe Python
Publicat: 2022-01-04
La începutul acestui an, oamenii de știință de la Sophos au determinat o nouă gamă largă de ransomware care a fost compusă în limbajul de programare Python. Atacul a vizat echipamentele virtuale (VM) găzduite de VMware ESXi, criptând discurile digitale și avându-le pe toate offline.
Aparent, ransomware-ul găsit are performanțe neobișnuit de rapid și are posibilitatea de a cripta informațiile despre consumatori în doar câteva ore. În realitate, în scenariul descoperit de oamenii de știință Sophos, atacul a durat doar 3 câteva ore.
Într-un raport despre descoperire, un cercetător principal de la Sophos a observat că Python este un limbaj de codare care nu este folosit frecvent pentru ransomware. Potrivit unui raport recent al diviziei de analiză și inteligență a BlackBerry, malware-ul este mult mai obișnuit creat lucrând cu limbi precum Go, DLang, Nim și Rust. Astfel explicat, de obicei depinde în mare măsură de sistemul pe care se concentrează atacatorul.
Limbajul de programare Python
În primul rând, este important să contextualizați semnificația utilizării Python în ransomware. Python este un limbaj de scripting robust, cu resurse deschise, cu caracteristici complete. În expresii ale utilizării sale ca administrator de procedură, este capabil să utilizeze module care să permită lucrări care sunt efectuate continuu.
Așa cum sunt faimoși de cercetătorii de la BlackBerry, atacatorii preferă în general limbile care sunt mai tinere în existență și destul de necunoscute și neanalizate. Pe de altă parte, Python este unul dintre cele mai populare limbaje de programare folosite în zilele noastre și a fost lansat 30 de câțiva ani în 1991. Acceptarea sa se datorează beneficiului său ca software pentru orice administrator de sistem. Printre alte elemente, Python poate fi de ajutor minunat la rularea serverelor, înregistrarea în jurnal și screening-ul în scopuri de Internet.
Cum a fost fezabil acest atac?
În cele din urmă, eroarea umană a fost cauza acestui atac. A început când atacatorii au reușit să spargă un cont TeamViewer aparținând afacerii victimei. Persoana a experimentat intrarea de administrator și nu avea activată autentificarea cu mai mulți factori (MFA).
Ulterior, atacul a inclus o exploatare a unei interfețe administrative VMware Hypervisor. Serverele ESXi au un suport SSH încorporat numit Shell ESXi pe care administratorii îl pot ajuta și dezactiva atunci când este necesar. Acest atac a avut loc deoarece asistența shell ESXi a fost activată și apoi a rămas în funcțiune.
În raport, cercetătorii declară că atacarea sistemului a expus un furnizor de shell care rulează, care ar fi trebuit să fie dezactivat imediat după utilizare. În esență, porțile pentru fiecare dintre programele de operare ale victimei erau lăsate deschise.
Angajații IT ai organizației victime au aplicat în mod regulat ESXi Shell pentru a gestiona serverul și au experimentat activarea și dezactivarea shell-ului de mai multe ori în lunile anterioare atacului. Pe de altă parte, ultima dată când au activat shell-ul, nu au reușit să-l dezactiveze mai târziu. Infractorii au profitat de acest lucru și au fost în măsură să acceseze și, prin urmare, să cripteze toate discurile virtuale ale victimei.
Dacă s-ar fi respectat sugestiile de stabilitate a procedurii VMware, procedura ar fi fost sigură sau, cel puțin, ar fi fost mai dificil pentru atacatori să se împartă și, la un moment dat, să cripteze întregul proces.
De ce a fost aplicat Python?
Python devine din ce în ce mai bine cunoscut, nu numai ca limbaj de programare cu scop general, ci și pentru administrarea sistemelor IT. Python a fost folosit în cursul acestui atac pentru că a fost fără probleme.
Deoarece Python este preinstalat pe o mulțime de unități de lucru centrate pe Linux, așa cum este ESXi, utilizarea Python în această ocazie are cel mai bine sensul.
În esență, atacatorii au folosit aplicațiile care există deja doar în alcătuirea țintei atacului. Atacatorii au folosit scripturile exacte pe care ținta o folosea până acum pentru sarcinile sale administrative de zi cu zi.
Punctul în care Python a fost utilizat ca instrument extins la nivel de sistem explică modul în care malware-ul a fost implementat în doar 10 minute. Acest lucru clarifică, de asemenea, de ce a fost etichetat de oamenii de știință drept „neobișnuit de rapid”, toate resursele importante așteptau atacatorii pe site.
Vizează serverele ESXi și dispozitivele virtuale
Serverele ESXi sunt un obiectiv atractiv pentru criminalii de ransomware, deoarece pot ataca multe mașini digitale de îndată ce fiecare dispozitiv digital ar putea funcționa cu o serie de aplicații importante pentru întreprindere sau servicii de experți.
Pentru ca un atac să fie productiv, actorii amenințărilor vor trebui să acceseze cunoștințele critice ale afacerii. În acest scenariu, concentrarea asupra corporației cu experiență anterior a grupat totul mai puțin decât o singură umbrelă înainte de sosirea atacatorilor. Oportunitatea de revenire a investiției financiare din atac este maximizată din acest motiv, iar serverele ESXi reprezintă ținta excelentă.
Înțelegerea claselor prețioase
VMware nu recomandă să lăsați shell-ul ESXi în funcțiune fără ca acesta să fie monitorizat și, de asemenea, poate face sugestii în jurul privilegiilor de proces care nu au fost respectate în această circumstanță. Impunerea unor metode de stabilitate foarte simple ar putea opri astfel de atacuri sau cel puțin le poate face foarte greu.
Ca regulă de bază de securitate în administrarea tehnicilor IT: cu cât sistemul expune mult mai puțin, cu atât mai puțin trebuie să fie securizat. Configurarea inițială a tehnicii și configurația implicită nu sunt adecvate pentru siguranța programului de creare.
Dacă ESXi Shell ar fi fost dezactivat imediat după ce administratorii și-au încheiat operațiunea, nu ar fi avut loc atât de convenabil. Administratorii au fost obișnuiți să folosească ESXi Shell ca o poartă respectabilă pentru a controla dispozitivele digitale ale clienților și, prin urmare, au acționat într-o manieră neglijentă, nereușind să închidă poarta la ieșire.
O altă parte a acestei situații la care să ne gândim din punct de vedere administrativ este vizibilitatea dispozitivelor de fișiere din lume. Toate partițiile de fapte ale victimei erau disponibile doar în sistemul lor de fișiere din interior. Știm că criptarea a fost finalizată fișier cu fișier. Infractorii au atașat criptarea esențială fiecărui fișier individual și au suprascris conținutul fișierului principal. Un administrator de procedură mult mai atent ar putea descompune zona de detalii din aplicații și o poate împărți între stocarea de cunoștințe și restul programului.
Adăugarea de autorizare cu mai multe probleme pentru conturile cu o treaptă mai mare de privilegii ar elimina, de asemenea, atacatorii de oportunitate, dar MFA este, în general, neprimit de directori pentru utilizarea frecventă, în fiecare zi.
Nu poate fi subestimat că deținerea tratamentelor adecvate va permite descurajarea atacurilor pe termen lung. În total, acest lucru are mult mai mult de-a face cu securitatea și administrarea metodei decât cu Python. În acest scenariu, Python a fost doar instrumentul cel mai convenabil de utilizat și le-a oferit atacatorilor acces la toate procedurile mașinilor digitale.
Piotr Landowski, supervizor de transport de servicii, STX viitoare