Bảo mật

Nhóm ransomware mã hóa máy chủ VMware ESXi bằng script Python

author Đặng Hoài Đức - 2021-10-06 08:34:27 (GMT+7)

Gần đây, các nhà nghiên cứu Sophos đã phát hiện một nhóm ransomware không xác định đang sử dụng tập lệnh script Python để mã hóa các máy ảo được lưu trữ trên máy chủ VMware ESXi.

Mặc dù, ngôn ngữ lập trình Python không phổ biến trong các nhóm ransomware, nhưng Python là một lựa chọn hợp lý cho các hệ thống ESXi, vì các máy chủ dựa trên Linux được cài đặt Python theo mặc định.

Các máy ảo được mã hóa bằng tập lệnh script Python 6kb

Các hacker xâm nhập mạng Internet của nạn nhân bằng cách đăng nhập vào một tài khoản TeamViewer đang chạy trên thiết bị có quản trị viên đã đăng nhập trước đó.

Sau khi vào mạng, chúng tìm kiếm các mục tiêu bằng công cụ Advanced IP Scanner và đăng nhập vào máy chủ ESXi thông qua dịch vụ SSH ESXi Shell được tích hợp sẵn, dịch vụ này đã bị một nhân viên CNTT vô tình bật lên (mặc dù nó bị tắt theo mặc định).

Sau đó, các nhóm ransomware đã cài đặt một tập lệnh script Python 6kb để mã hóa tất cả các tệp cài đặt của máy ảo nạn nhân.

Tập lệnh script Python 6kb cho phép chúng sử dụng nhiều khóa mã hóa khác nhau và địa chỉ email và tùy chỉnh hậu tố tệp cho các tệp được mã hóa.

Máy chủ VMware ESXi đang trong tầm ngắm


Tấn công máy chủ ESXi đang là một chiến thuật có tính đột phá đối với các nhóm ransomware, vì các dịch vụ và ứng dụng quan trọng của doanh nghiệp được triển khai trên nền tảng máy chủ này.

Nhiều nhóm ransomware, bao gồm Darkside, RansomExx và Babuk Locker, đã khai thác lỗ hổng RCE pre-auth của VMWare ESXi để mã hóa các ổ cứng ảo được sử dụng làm không gian lưu trữ cho doanh nghiệp.

Đây không phải là sự cố đầu tiên mà các công cụ độc hại dựa trên Python được sử dụng để nhắm mục tiêu vào các máy chủ VMware.

Vào tháng 6, các nhà nghiên cứu đã phát hiện ra một phần mềm ransomware FreakOut dựa trên Python nhắm mục tiêu vào các thiết bị Windows và Linux để đào sâu vào máy chủ VMware vCenter chưa được vá lỗ hổng bảo mật RCE trong tất cả các cài đặt mặc định.

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subcribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Windows 10, iOS 15, Ubuntu, Chrome thất bại tại cuộc thi hack Tianfu của Trung Quốc
author Đặng Hoài Đức 18 Tháng mười, 2021

BẢO MẬT
Tiện ích chặn quảng cáo chèn quảng cáo lừa đảo vào trình duyệt web
author Đặng Hoài Đức 18 Tháng mười, 2021

BẢO MẬT
Google đang theo dõi 270 nhóm hacker ở hơn 50 Quốc gia
author Đặng Hoài Đức 15 Tháng mười, 2021

tin.123host.vnTin công nghệ 24h

Nơi cập nhật những thông tin công nghệ mới nhất.

Xem thêm