Απεργίες Python Ransomware σε εκτεθειμένες περιπτώσεις φορητών υπολογιστών Jupyter

Η Python δεν είναι μια γλώσσα προγραμματισμού που συνήθως σχετίζεται με ransomware. Η πλειοψηφία των εργαλείων ransomware κωδικοποιείται χρησιμοποιώντας διαφορετικές γλώσσες. Ωστόσο, στα τέλη του 2021 ανακαλύφθηκε ένα νέο στέλεχος ransomware γραμμένο σε Python. Το ransomware που βασίζεται σε Python χρησιμοποιείται τώρα σε μια νέα καμπάνια επίθεσης, με στόχο την πλατφόρμα Jupyter Notebook.

Το Jupyter Notebook είναι μια διαδικτυακή πλατφόρμα διαδραστικής πληροφορικής, που χρησιμοποιείται συνήθως για οπτικοποιήσεις διαφόρων τύπων δεδομένων.

Μια ερευνητική ομάδα με την Aqua Security ανακάλυψε τη νέα επίθεση χρησιμοποιώντας το στέλεχος ransomware που βασίζεται στην Python.

Εκτεθειμένες και λανθασμένες παραμέτρους στοχευμένες παρουσίες

Ο τρόπος με τον οποίο η νέα καμπάνια βρίσκει τα θύματά της είναι σχετικά απλός. Οι συντελεστές απειλών πίσω από την καμπάνια πραγματοποιούν σάρωση για περιβάλλοντα Notebook Jupyter που έχουν αφεθεί μη ασφαλή, λόγω κακής διαμόρφωσης.

Η ομάδα Aqua Security δημιούργησε ένα περιβάλλον δοκιμών, αφήνοντας το παράδειγμα του Jupyter Notebook εκτεθειμένο και μη ασφαλές επίτηδες. Ο παράγοντας απειλής μπήκε στο στιγμιότυπο που λειτουργεί από τον ερευνητή και κατέβασε μια σειρά από κακόβουλα εργαλεία στον διακομιστή χρησιμοποιώντας εντολές τερματικού. Σε ένα εκπληκτικά επίπονο βήμα, δεδομένου του τρόπου με τον οποίο λειτουργούν οι περισσότερες καμπάνιες κακόβουλου λογισμικού, οι χάκερ δημιούργησαν ένα σενάριο Python με μη αυτόματο τρόπο και χρησιμοποίησαν αυτό το σενάριο για να εκτελέσουν το ωφέλιμο φορτίο ransomware.

Παρόλο που οι χάκερ πιθανότατα κατάλαβαν ότι εργάζονταν σε ένα honeypot και όχι σε πραγματικό στόχο και δεν ολοκλήρωσαν την επίθεση, οι ερευνητές πιστεύουν ότι γνωρίζουν αρκετά για να καταλάβουν πώς μοιάζει η πλήρης αλυσίδα επίθεσης.

Το Python ransomware πιθανότατα βρίσκεται ακόμη σε φάση δοκιμής

Το ωφέλιμο φορτίο κρυπτογραφεί πρώτα τα αρχεία, μετά διαγράφει τα μη κρυπτογραφημένα αντίγραφα και στη συνέχεια το σενάριο που χρησιμοποιείται για την εκκίνηση του ransomware επίσης. Η απουσία σημείωσης λύτρων και κάθε είδους χρηματική απαίτηση ως μέρος της διαδικασίας πιθανώς υποδηλώνει ότι το λογισμικό λύτρων εξακολουθεί να δοκιμάζεται και να βελτιώνεται.

Η φύση των περιβαλλόντων Jupyter Notebook ως στόχων καθιστά επικίνδυνες αυτές τις επιθέσεις ransomware Python. Τα δεδομένα που χειρίζονται και επεξεργάζονται το στοχευόμενο περιβάλλον Notebook Jupyter ενδέχεται να είναι ευαίσθητης φύσης και να οδηγήσουν σε σημαντική ζημιά στην οντότητα που εργάζεται μαζί τους.