Los investigadores de Sophos descubrieron un nuevo ransomware que usa Python para robar datos de servidores VMWare ESXi y máquinas virtuales que tardan menos de 3 horas desde la violación del sistema inicial hasta el completo cifrado del sistema.
La diferencia de este ataque a los tradicionales es que los ciberdelincuentes pueden pasar dias o inclusive semanas analizando redes y recopilando archivos antes de irrumpir en una empresa, pero en este caso el ataque ocurre muy rápido, aprovechando la mala configuración del servidor.
Andrew Brandt, investigador principal de SophosLabs, dijo:
«Una investigación completada recientemente sobre un ataque de ransomware reveló que los atacantes ejecutaron un script Python personalizado en el administrador de la máquina virtual del objetivo para cifrar todos los discos virtuales, desconectando las máquinas virtuales de la organización«
Máquinas virtuales cifradas con un Script de 6kb
En uno de los casos evaluados, los ciberdelincuentes irrumpieron en la red de la víctima a través de un programa de acceso remoto como TeamViewer, que se ejecutaba en la máquina atacada con privilegios de administración.
Después de obtener el acceso a la red, comenzaron a buscar objetivos adicionales utilizando AIPS (Advanced IP Scanner), conectándose así a un servidor ESXi a través del servicio SSH ESXi integrado. Andrew completó:
«Los servidores ESXi tienen un servicio SSH integrado llamado ESXi Shell que los administradores pueden habilitar, pero generalmente se encuentra deshabilitado de manera predeterminada»
Luego, los piratas informáticos ejecutaron dicho script de 6kb para cifrar el disco virtual y los archivos de configuración de todas las VM. El script se recupero parcialmente durante la investigación, permitió a los operadores usar varias claves de cifrado y direcciones de correo y personalizar el sufijo de los archivos cifrados.
Finalmente Brandt concluyó:
«Los administradores que operan ESXi u otros hipervisores en sus redes deben seguir mejores prácticas de seguridad, evitando la reutilización de contraseñas y usando contraseñas complejas que son difíciles de descifrar mediante fuerza bruta»
«Python es un lenguaje de codificación no usado para ransomware. Sin embargo, está preinstalado en sistemas Linux como ESXi, lo que hace que los ataques de Python sean posibles en dichos sistemas. Estos servidores representan un objetivo atractivo porque pueden atacar varias máquinas virtuales al mismo tiempo, donde cada una puede estar ejecutando servicios críticos para el negocio.»
Bibliografía: