Nhóm ransomware mã hóa máy chủ VMware ESXi bằng script Python

Gần đây, các nhà nghiên cứu Sophos đã phát hiện một nhóm ransomware không xác định đang sử dụng tập lệnh script Python để mã hóa các máy ảo được lưu trữ trên máy chủ VMware ESXi.

Mặc dù, ngôn ngữ lập trình Python không phổ biến trong các nhóm ransomware, nhưng Python là một lựa chọn hợp lý cho các hệ thống ESXi, vì các máy chủ dựa trên Linux được cài đặt Python theo mặc định.

Các máy ảo được mã hóa bằng tập lệnh script Python 6kb

Các hacker xâm nhập mạng Internet của nạn nhân bằng cách đăng nhập vào một tài khoản TeamViewer đang chạy trên thiết bị có quản trị viên đã đăng nhập trước đó.

Sau khi vào mạng, chúng tìm kiếm các mục tiêu bằng công cụ Advanced IP Scanner và đăng nhập vào máy chủ ESXi thông qua dịch vụ SSH ESXi Shell được tích hợp sẵn, dịch vụ này đã bị một nhân viên CNTT vô tình bật lên (mặc dù nó bị tắt theo mặc định).

Sau đó, các nhóm ransomware đã cài đặt một tập lệnh script Python 6kb để mã hóa tất cả các tệp cài đặt của máy ảo nạn nhân.

Tập lệnh script Python 6kb cho phép chúng sử dụng nhiều khóa mã hóa khác nhau và địa chỉ email và tùy chỉnh hậu tố tệp cho các tệp được mã hóa.

Máy chủ VMware ESXi đang trong tầm ngắm

Tấn công máy chủ ESXi đang là một chiến thuật có tính đột phá đối với các nhóm ransomware, vì các dịch vụ và ứng dụng quan trọng của doanh nghiệp được triển khai trên nền tảng máy chủ này.

Nhiều nhóm ransomware, bao gồm Darkside, RansomExx và Babuk Locker, đã khai thác lỗ hổng RCE pre-auth của VMWare ESXi để mã hóa các ổ cứng ảo được sử dụng làm không gian lưu trữ cho doanh nghiệp.

Đây không phải là sự cố đầu tiên mà các công cụ độc hại dựa trên Python được sử dụng để nhắm mục tiêu vào các máy chủ VMware.

Vào tháng 6, các nhà nghiên cứu đã phát hiện ra một phần mềm ransomware FreakOut dựa trên Python nhắm mục tiêu vào các thiết bị Windows và Linux để đào sâu vào máy chủ VMware vCenter chưa được vá lỗ hổng bảo mật RCE trong tất cả các cài đặt mặc định.

Chia sẻ bài viết này