公開されたJupyterNotebookインスタンスでのPythonランサムウェアストライキ

Pythonは、通常ランサムウェアに関連するプログラミング言語ではありません。ランサムウェアツールキットの大部分は、さまざまな言語を使用してコード化されています。しかし、2021年後半に、Pythonで記述された新しいランサムウェア株が発見されました。 Pythonベースのランサムウェアは現在、JupyterNotebookプラットフォームを標的とした新しい攻撃キャンペーンで使用されています。

Jupyter Notebookは、さまざまなタイプのデータの視覚化に一般的に使用されるWebベースのインタラクティブコンピューティングプラットフォームです。

Aqua Securityの研究チームは、Pythonベースのランサムウェア株を使用した新しい攻撃を発見しました。

公開され、誤って構成されたインスタンス化されたターゲット

新しいキャンペーンが犠牲者を見つける方法は比較的簡単です。キャンペーンの背後にいる脅威アクターは、構成が不十分なためにセキュリティで保護されていないJupyterNotebook環境をスキャンします。

Aqua Securityチームはテスト環境をセットアップし、Jupyter Notebookのインスタンスを公開し、意図的にセキュリティで保護していません。攻撃者は研究者が操作するインスタンスに侵入し、ターミナルコマンドを使用してサーバーに多数の悪意のあるツールをダウンロードしました。ほとんどのマルウェアキャンペーンがどのように機能するかを考えると、驚くほど骨の折れるステップで、ハッカーはPythonスクリプトを手動で生成し、そのスクリプトを使用してランサムウェアのペイロードを実行しました。

ハッカーは、実際の標的ではなくハニーポットで作業していることを理解し、攻撃を終了しなかった可能性がありますが、研究者は、攻撃チェーン全体がどのように見えるかを理解するのに十分な知識があると信じています。

Pythonランサムウェアはまだテスト段階にある可能性があります

ペイロードは最初にファイルを暗号化し、次に暗号化されていないコピーを削除し、次にランサムウェアの起動に使用されるスクリプトも削除します。プロセスの一部として身代金メモやあらゆる種類の金銭的要求がないことは、ランサムウェアがまだテストおよび改善されていることを示している可能性があります。

ターゲットとしてのJupyterNotebook環境の性質により、これらのPythonランサムウェア攻撃は危険です。対象となるJupyterNotebook環境によって処理および処理されるデータは、機密性が高く、操作するエンティティに重大な損害を与える可能性があります。