Gli esperti di Sophos, durante un’indagine recente su un attacco ransomware, hanno rilevato un nuovo ransomware scritto in Python che gli aggressori hanno utilizzato per compromettere e crittografare le macchine virtuali ospitate su un hypervisor ESXi, portando offline le VM dell’organizzazione.
In quello che è stato uno degli attacchi più rapidi su cui Sophos ha indagato, dal momento della compromissione iniziale fino alla distribuzione dello script ransomware, gli aggressori hanno trascorso solo poco più di tre ore sulla rete del bersaglio prima di crittografare i dischi virtuali in un server VMware ESXi.
“Questo è uno degli attacchi ransomware più veloci su cui Sophos abbia mai indagato e sembrava mirare con precisione alla piattaforma ESXi”, ha affermato Andrew Brandt, ricercatore principale di Sophos.
L’attacco è iniziato alle 00.30 di domenica, quando gli operatori del ransomware hanno fatto irruzione accedendo a un account TeamViewer, privo di autenticazione a più fattori impostata, in esecuzione in background su un computer che apparteneva a un utente che disponeva di credenziali di accesso di amministratore di dominio.
Dieci minuti dopo, gli attaccanti hanno scaricato lo strumento Advanced IP Scanner per identificare obiettivi sulla rete.
L’ipotesi è che il server ESXi sulla rete fosse vulnerabile a seguito di una Shell attiva, un’interfaccia di programmazione che i team IT utilizzano per comandi e aggiornamenti, che ha consentito agli aggressori di installare uno strumento di comunicazione di rete sicuro chiamato Bitvise sulla macchina appartenente all’amministratore del dominio, ottenendo così l’accesso remoto al sistema ESXi, inclusi i file del disco virtuale utilizzati dalle macchine virtuali.
Intorno alle 3:40, gli aggressori hanno distribuito il ransomware e crittografato questi dischi rigidi virtuali ospitati sul server ESXi e hanno copiato un file denominato fcker.py nel datastore ESXi, che ospita le immagini del disco virtuale utilizzate dalle VM in esecuzione sull’hypervisor.
Uno per uno, gli aggressori hanno eseguito lo script Python, passando il percorso ai volumi del disco dell’archivio dati come argomento dello script. Ogni singolo volume conteneva il disco virtuale e i file delle impostazioni della macchina virtuale per più macchine virtuali.
Grazie ad un solido lavoro forense, il team di Rapid Response ha recuperato una copia dello script Python.