Обнаружена новая программа-вымогатель Python снайперского типа.
Sophos, ведущая организация по кибербезопасности, обнаружила новую программу-вымогатель Python.
По данным Sophos, новая программа-вымогатель, написанная на Python, использовалась злоумышленниками для заражения и шифрования виртуальных машин, размещенных на гипервизоре ESXi. В статье Python Ransomware Script Targets ESXi Server for Encryption описывается снайперская операция, которая прошла путь от проникновения до шифрования менее чем за три часа.
«Это одна из самых быстрых атак программ-вымогателей, которые когда-либо анализировала Sophos, и, похоже, она точно нацелена на платформу ESXi», — говорит Эндрю Брандт, ведущий исследователь Sophos.
«Python — это язык программирования, который не часто ассоциируется с программами-вымогателями. Python, с другой стороны, предустановлен в системах на базе Linux, таких как ESXi, что делает возможными атаки на основе Python», — поясняет он.
«Субъектов программ-вымогателей привлекают серверы ESXi, поскольку они могут одновременно атаковать несколько виртуальных машин, на каждой из которых могут быть запущены критически важные для бизнеса приложения или службы. Атаки на гипервизоры могут быть как быстрыми, так и неприятными. Атаки на серверы ESXi проводились группами вымогателей, такими как DarkSide и REvil».
График
Согласно расследованию Sophos, атака программы-вымогателя началась в 00:30 воскресенья, когда операторы программы-вымогателя получили доступ к учетной записи TeamViewer, работающей на компьютере, принадлежащем пользователю, у которого также были учетные данные администратора домена.
По словам следователей, злоумышленники использовали программу Advanced IP Scanner для поиска целей в сети через 10 минут. Поскольку сервер ESXi в сети имел активную оболочку, программный интерфейс, который ИТ-команды используют для выполнения команд и обновлений, исследователи считают его уязвимым. Злоумышленники смогли установить Bitvise, программу безопасной сетевой связи, на машину администратора домена, предоставив им удаленный доступ к системе ESXi, включая файлы виртуальных дисков, используемые виртуальными машинами. Злоумышленники использовали программу-вымогатель для шифрования виртуальных жестких дисков, хранящихся на сервере ESXi, около 3:40 утра.
Стратегии предотвращения
Предупреждения следует отслеживать и реагировать на них. Убедиться в наличии необходимых технологий, методов и ресурсов (людей) для мониторинга, расследования и реагирования на экологические риски. Злоумышленники с программами-вымогателями часто наносят удары в непиковые часы, например, в выходные или праздничные дни, предполагая, что сотрудников мало или совсем нет.
Следует создавать и применять надежные пароли. Одним из первых уровней защиты является надежный пароль. Пароли должны быть уникальными или сложными, и их нельзя использовать повторно. Это намного проще с менеджером паролей, который может хранить учетные данные сотрудников.
Следует использовать многофакторную аутентификацию (MFA). Даже самые надежные пароли могут быть взломаны. Для защиты доступа к важным ресурсам, таким как электронная почта, инструменты удаленного управления и сетевые активы, любой вид многофакторной проверки подлинности предпочтительнее, чем ее отсутствие.
Доступные сервисы должны быть заблокированы. Выполните сканирование внешней сети, чтобы определить и отключить порты, которые обычно используют VNC, RDP и другие программы удаленного доступа. Поместите инструмент удаленного управления за VPN или решение для доступа к сети с нулевым доверием, которое использует MFA как часть своего входа в систему, если к машине необходимо получить удаленный доступ.
Используйте сегментацию и политику нулевого доверия. По мере продвижения к парадигме сети с нулевым доверием отделяйте основные серверы друг от друга и от рабочих станций, помещая их в отдельные виртуальные локальные сети.
Регулярно делайте резервные копии ваших данных и приложений. Сохраняйте резервные копии, подтверждайте возможность их восстановления и храните копии вне офиса.
Составьте список всех ваших активов и счетов. Неизвестные, незащищенные и неисправленные устройства в сети повышают риск, позволяя враждебным действиям оставаться незамеченными. Крайне важно отслеживать все связанные вычислительные экземпляры. Найдите и каталогизируйте их с помощью сканирования сети, инструментов IaaS и физических проверок, а затем установите программное обеспечение для защиты конечных точек на всех незащищенных компьютерах.
Убедитесь, что продукты безопасности настроены правильно. Системы и гаджеты, которые плохо защищены, также уязвимы. Крайне важно убедиться, что решения безопасности установлены правильно, а также регулярно проверять, оценивать и обновлять политики безопасности. Новые функции безопасности не всегда включены по умолчанию. Отключение защиты от несанкционированного доступа или создание широких исключений для обнаружения облегчит задачу злоумышленнику.
Active Directory тщательно изучается (AD). Проводите частые аудиты всех учетных записей AD, чтобы убедиться, что никто не имеет большего доступа, чем требуется для их работы. Как только увольняющийся сотрудник покидает компанию, отключайте его учетные записи.
Все должно быть исправлено. Поддерживайте самые последние версии Windows и других операционных систем и программного обеспечения. Это также влечет за собой двойную проверку того, что основные системы, такие как компьютеры с выходом в Интернет и контроллеры домена, были успешно исправлены и работают.
Больше контента на plainenglish.io. Подпишитесь на нашу бесплатную еженедельную рассылку новостей. Получите эксклюзивный доступ к возможностям написания и советам в нашем сообществе Discord.
