Python Ransomware ataca instâncias expostas do Jupyter Notebook

Python não é uma linguagem de programação normalmente associada a ransomware. A maioria dos kits de ferramentas de ransomware são codificados usando diferentes idiomas. No entanto, no final de 2021, uma nova variedade de ransomware escrita em Python foi descoberta. O ransomware baseado em Python agora está sendo usado em uma nova campanha de ataque, visando a plataforma Jupyter Notebook.

Jupyter Notebook é uma plataforma de computação interativa baseada na web, comumente usada para visualizações de vários tipos de dados.

Uma equipe de pesquisa da Aqua Security descobriu o novo ataque usando a cepa de ransomware baseada em Python.

Segmentado por instâncias expostas e mal configuradas

A forma como a nova campanha encontra suas vítimas é relativamente simples. Os agentes de ameaças por trás da campanha verificam os ambientes do Jupyter Notebook que foram deixados desprotegidos devido à configuração ruim.

A equipe do Aqua Security configurou um ambiente de teste, deixando a instância do Jupyter Notebook exposta e desprotegida de propósito. O agente da ameaça entrou na instância operada pelo pesquisador e baixou várias ferramentas maliciosas no servidor usando comandos de terminal. Em uma etapa surpreendentemente trabalhosa, considerando como a maioria das campanhas de malware funciona, os hackers geraram um script Python manualmente e usaram esse script para executar a carga útil do ransomware.

Mesmo que os hackers provavelmente tenham descoberto que estavam trabalhando em um honeypot e não em um alvo real e não concluíram o ataque, os pesquisadores acreditam que sabem o suficiente para descobrir como é a cadeia de ataque completa.

Ransomware Python provavelmente ainda em fase de testes

A carga útil criptografa os arquivos primeiro, depois exclui as cópias não criptografadas e, em seguida, o script usado para iniciar o ransomware também. A ausência de uma nota de resgate e qualquer tipo de demanda monetária como parte do processo provavelmente indica que o ransomware ainda está sendo testado e aprimorado.

A natureza dos ambientes do Jupyter Notebook como alvos torna esses ataques de ransomware Python perigosos. Os dados manipulados e processados pelo ambiente do Jupyter Notebook direcionado podem ser de natureza sensível e causar danos significativos à entidade que trabalha com eles.