Python Ransomware frappe les instances de notebook Jupyter exposées

Python n'est pas un langage de programmation généralement associé aux rançongiciels. La majorité des boîtes à outils de rançongiciels sont codées dans différents langages. Cependant, fin 2021, une nouvelle souche de ransomware écrite en Python a été découverte. Un ransomware basé sur Python est maintenant utilisé dans une nouvelle campagne d'attaque, ciblant la plate-forme Jupyter Notebook.

Jupyter Notebook est une plate-forme informatique interactive basée sur le Web, couramment utilisée pour la visualisation de divers types de données.

Une équipe de recherche d'Aqua Security a découvert la nouvelle attaque utilisant la souche de ransomware basée sur Python.

Instances exposées et mal configurées ciblées

La façon dont la nouvelle campagne trouve ses victimes est relativement simple. Les acteurs de la menace à l'origine de la campagne recherchent les environnements Jupyter Notebook qui n'ont pas été sécurisés en raison d'une mauvaise configuration.

L'équipe d'Aqua Security a mis en place un environnement de test, laissant délibérément l'instance de Jupyter Notebook exposée et non sécurisée. L'auteur de la menace est entré dans l'instance exploitée par le chercheur et a téléchargé un certain nombre d'outils malveillants sur le serveur à l'aide de commandes de terminal. Dans une étape étonnamment laborieuse, compte tenu du fonctionnement de la plupart des campagnes de logiciels malveillants, les pirates ont ensuite généré manuellement un script Python et l'ont utilisé pour exécuter la charge utile du ransomware.

Même si les pirates ont probablement compris qu'ils travaillaient dans un pot de miel et non une véritable cible et n'ont pas terminé l'attaque, les chercheurs pensent qu'ils en savent assez pour comprendre à quoi ressemble la chaîne d'attaque complète.

Le rançongiciel Python est probablement encore en phase de test

La charge utile crypte d'abord les fichiers, puis supprime les copies non cryptées, puis le script utilisé pour lancer le ransomware également. L'absence d'une note de rançon et de toute sorte de demande monétaire dans le cadre du processus indique probablement que le ransomware est toujours en cours de test et d'amélioration.

La nature des environnements Jupyter Notebook en tant que cibles rend ces attaques de ransomware Python dangereuses. Les données gérées et traitées par l'environnement Jupyter Notebook qui sont ciblées peuvent être de nature sensible et entraîner des dommages importants pour l'entité qui les utilise.