Ransomware Python atakuje ujawnione instancje notebooków Jupyter

Python nie jest językiem programowania zwykle kojarzonym z oprogramowaniem ransomware. Większość zestawów narzędzi ransomware jest zakodowana w różnych językach. Jednak pod koniec 2021 roku odkryto nowy szczep ransomware napisany w Pythonie. Oprogramowanie ransomware oparte na języku Python jest obecnie wykorzystywane w nowej kampanii ataków wymierzonej w platformę Jupyter Notebook.

Jupyter Notebook to internetowa interaktywna platforma obliczeniowa, powszechnie używana do wizualizacji różnych typów danych.

Zespół badawczy z Aqua Security odkrył nowy atak przy użyciu szczepu ransomware opartego na Pythonie.

Ujawnione i źle skonfigurowane instancje docelowe

Sposób, w jaki nowa kampania znajduje swoje ofiary, jest stosunkowo prosty. Zagrożenia stojące za kampanią skanują w poszukiwaniu środowisk Jupyter Notebook, które zostały niezabezpieczone z powodu złej konfiguracji.

Zespół Aqua Security utworzył środowisko testowe, pozostawiając instancję Jupyter Notebook celowo odsłoniętą i niezabezpieczoną. Aktor zagrożenia dostał się do instancji obsługiwanej przez badacza i pobrał na serwer szereg złośliwych narzędzi za pomocą poleceń terminalowych. W zaskakująco żmudnym kroku, biorąc pod uwagę sposób działania większości kampanii złośliwego oprogramowania, hakerzy ręcznie wygenerowali skrypt Pythona i wykorzystali go do wykonania ładunku ransomware.

Mimo że hakerzy prawdopodobnie zorientowali się, że pracują w pułapce miodu, a nie w prawdziwym celu, i nie zakończyli ataku, naukowcy uważają, że wiedzą wystarczająco dużo, aby dowiedzieć się, jak wygląda pełny łańcuch ataków.

Ransomware Pythona prawdopodobnie nadal w fazie testów

Ładunek najpierw szyfruje pliki, a następnie usuwa niezaszyfrowane kopie, a następnie skrypt używany do uruchamiania oprogramowania ransomware. Brak żądania okupu i jakiegokolwiek żądania pieniężnego w ramach tego procesu prawdopodobnie wskazuje, że oprogramowanie ransomware jest nadal testowane i ulepszane.

Charakter środowisk Jupyter Notebook jako celów sprawia, że ataki ransomware Pythona są niebezpieczne. Dane przetwarzane i przetwarzane przez docelowe środowisko Jupyter Notebook mogą mieć wrażliwy charakter i prowadzić do znacznych szkód dla współpracującego z nim podmiotu.