Python Ransomware colpisce le istanze di Jupyter Notebook esposte

Python non è un linguaggio di programmazione tipicamente associato al ransomware. La maggior parte dei toolkit ransomware sono codificati utilizzando linguaggi diversi. Tuttavia, alla fine del 2021 è stato scoperto un nuovo ceppo di ransomware scritto in Python. Il ransomware basato su Python viene ora utilizzato in una nuova campagna di attacco, mirata alla piattaforma Jupyter Notebook.

Jupyter Notebook è una piattaforma informatica interattiva basata sul Web, comunemente utilizzata per la visualizzazione di vari tipi di dati.

Un team di ricerca con Aqua Security ha scoperto il nuovo attacco utilizzando il ceppo ransomware basato su Python.

Istanziato esposto e configurato in modo errato mirato

Il modo in cui la nuova campagna trova le sue vittime è relativamente semplice. Gli attori delle minacce dietro la campagna scansionano gli ambienti Jupyter Notebook che non sono stati protetti a causa di una configurazione scadente.

Il team di Aqua Security ha creato un ambiente di test, lasciando l'istanza di Jupyter Notebook esposta e non protetta di proposito. L'attore della minaccia è entrato nell'istanza gestita dal ricercatore e ha scaricato una serie di strumenti dannosi sul server utilizzando i comandi del terminale. In un passaggio sorprendentemente laborioso, dato il funzionamento della maggior parte delle campagne di malware, gli hacker hanno quindi generato uno script Python manualmente e utilizzato quello script per eseguire il payload del ransomware.

Anche se gli hacker probabilmente hanno capito che stavano lavorando in un honeypot e non un vero obiettivo e non hanno portato a termine l'attacco, i ricercatori ritengono di sapere abbastanza per capire come appare l'intera catena di attacco.

È probabile che il ransomware Python sia ancora in fase di test

Il payload crittografa prima i file, quindi elimina le copie non crittografate e quindi anche lo script utilizzato per avviare il ransomware. L'assenza di una richiesta di riscatto e di qualsiasi tipo di richiesta monetaria come parte del processo indica probabilmente che il ransomware è ancora in fase di test e miglioramento.

La natura degli ambienti Jupyter Notebook come obiettivi rende pericolosi quegli attacchi ransomware Python. I dati gestiti ed elaborati dall'ambiente Jupyter Notebook di destinazione potrebbero essere di natura sensibile e causare danni significativi all'entità che lavora con esso.