Python-Ransomware greift exponierte Jupyter-Notebook-Instanzen an

Python ist keine Programmiersprache, die normalerweise mit Ransomware in Verbindung gebracht wird. Die meisten Ransomware-Toolkits sind in verschiedenen Sprachen codiert. Ende 2021 wurde jedoch ein neuer, in Python geschriebener Ransomware-Stamm entdeckt. Python-basierte Ransomware wird jetzt in einer neuen Angriffskampagne verwendet, die auf die Jupyter Notebook-Plattform abzielt.

Jupyter Notebook ist eine webbasierte interaktive Computerplattform, die häufig für die Visualisierung verschiedener Datentypen verwendet wird.

Ein Forschungsteam von Aqua Security entdeckte den neuen Angriff mit dem Python-basierten Ransomware-Stamm.

Offengelegte und falsch konfigurierte instanzierte Ziele

Die Art und Weise, wie die neue Kampagne ihre Opfer findet, ist relativ einfach. Die Bedrohungsakteure hinter der Kampagne scannen nach Jupyter Notebook-Umgebungen, die aufgrund schlechter Konfiguration ungesichert geblieben sind.

Das Team von Aqua Security richtete eine Testumgebung ein und ließ die Instanz von Jupyter Notebook absichtlich offen und ungesichert. Der Bedrohungsakteur gelangte in die von Forschern betriebene Instanz und lud mithilfe von Terminalbefehlen eine Reihe bösartiger Tools auf den Server herunter. In einem überraschend mühsamen Schritt, wenn man bedenkt, wie die meisten Malware-Kampagnen funktionieren, generierten die Hacker dann manuell ein Python-Skript und verwendeten dieses Skript, um die Ransomware-Payload auszuführen.

Obwohl die Hacker wahrscheinlich herausgefunden haben, dass sie in einem Honigtopf und kein echtes Ziel arbeiten, und den Angriff nicht beendet haben, glauben die Forscher, dass sie genug wissen, um herauszufinden, wie die vollständige Angriffskette aussieht.

Python-Ransomware wahrscheinlich noch in der Testphase

Die Payload verschlüsselt zuerst Dateien, löscht dann die unverschlüsselten Kopien und dann auch das Skript, das zum Starten der Ransomware verwendet wird. Das Fehlen einer Lösegeldforderung und jeglicher Geldforderung im Rahmen des Prozesses deutet wahrscheinlich darauf hin, dass die Ransomware noch getestet und verbessert wird.

Die Natur von Jupyter Notebook-Umgebungen als Ziele macht diese Python-Ransomware-Angriffe gefährlich. Daten, die von der betroffenen Jupyter Notebook-Umgebung gehandhabt und verarbeitet werden, können sensibler Natur sein und zu erheblichem Schaden für die damit arbeitende Entität führen.