عاملان یک گروه ناشناس باج افزاری از اسکریپت پایتون برای رمزنگاری ماشینهای مجازی که بر روی سرورهای Vmware ESXi قرار گرفتهاند، استفاده میکنند. در حالی که زبان برنامهنویسی پایتون چندان در توسعه باجافزارها به کار نمیرود، اما در این مورد انتخابی کاملاً منطقی به نظر میرسد، چرا که در سرورهای مبتنی بر لینوکس ESXi، پایتون به طور پیش فرض نصب شده است. محققان اعلام کردهاند که این گروه به سرعت و تنها در مدت زمان سه ساعت به سیستم قربانیان نفوذ میکنند.
شرح حادثه باج افزاری
در حین یک حادثه باج افزاری که اخیرا توسط محققان Sophos بررسی شد، مشخص شد که مهاجمان با ورود به یک حساب TeamViewer که روی دستگاهی با یک ادمین دامنه وارد شده بود، به شبکه قربانی نفوذ کردند.
پس از نفوذ به شبکه، با استفاده از IP Scannerهای پیشرفته، اهداف بیشتری را جستجو کرده و از طریق سرویس داخلی SSH ESXi Shell به سرور ESXi وارد شدند.
سپس یک اسکریپت ۶ کیلوبایتی به زبان پایتون را برای رمزگذاری دیسک مجازی ماشینهای مجازی و فایلهای تنظیمات VM اجرا کردند.
این اسکریپت که در حین بررسی حادثه تا حدی بازیابی شده است، به اپراتورهای باج افزار اجازه میدهد تا از چندین کلید رمزگذاری و آدرس ایمیل استفاده کنند و پسوند فایل را برای فایلهای رمزگذاری شده سفارشی کنند.
این کار با خاموش کردن ماشینهای مجازی و بازنویسی فایلهای اصلی ذخیرهشده در حافظه انجام میشود و در نهایت آنها را پاک میکند تا عمل بازیابی سختتر شود و تنها چیزی که باقی میماند فایلهای رمز شده قربانی است.
گروههای مختلف که از این روش استفاده میکنند
حمله به سرورهای ESXi یک تکنیک بسیار مخرب برای گروههای باجافزاری است، زیرا اکثر آنها چندین ماشین مجازی را به طور همزمان اجرا میکنند و سرویسها و برنامههای حیاتی تجاری روی بسیاری از آنها مستقر شدهاند. گروههای مختلفی مانند Darkside، RansomExx و Babuk Locker نیز از این باگ استفاده میکنند تا هارد دیسکهای مجازی را رمزگذاری کنند.
این اولین باری نیست که گروهی از ابزارهای مخرب مبتنی بر پایتون برای تسخیر سیستم و باج خواهی استفاده کرده باشد. بنابراین، بهتر است سازمانها مراقبت بیشتری را در استفاده از ماشینهای مجازی به کار برده و به سرعت وصلههای امنیتی ارائه شده را به کارگیرند.
