攻击者使用 Python 勒索软件加密 VMware ESXi 服务器

Sophos报告称，最近观察到的一次攻击使用了基于python的勒索软件变种，目标是一个组织的VMware ESXi服务器，攻击者加密了所有虚拟磁盘。

攻击者使用了自定义Python脚本，该脚本一旦在目标组织的虚拟机管理程序上执行，就会使所有虚拟机脱机。

Sophos的安全研究人员解释说，攻击者相当迅速地执行了勒索软件:在最初的攻击大约三小时后，加密过程就开始了。

初始访问时，攻击者破坏了一个没有设置多因素身份验证的TeamViewer帐户，该帐户在一个具有域管理员凭据的用户的计算机的后台运行。

Sophos解释说，攻击者在该组织所在的时区等了30分钟后登录，然后下载并执行了一个工具来识别网络上的目标，然后他们顺利找到一个VMware ESXi服务器。

凌晨2点左右，攻击者获取了一个SSH客户端登录服务器，利用ESXi服务器上的内置SSH服务ESXi Shell，该服务可在ESXi服务器上进行管理。

在首次扫描网络3小时后，攻击者登录到ESXi Shell，复制Python脚本，然后对每个数据存储磁盘卷执行该脚本，从而对虚拟机的虚拟磁盘和设置文件进行加密。

该脚本只有6kb大小，但允许攻击者使用多个加密密钥、各种电子邮件地址以及要附加到加密文件的文件后缀对其进行配置。

根据Sophos的说法，该脚本包含多个硬编码加密密钥，以及生成更多密钥的程序，研究人员因此得出结论，勒索软件每次运行都会生成一个唯一的密钥。

因此，在这种特定的攻击中，由于攻击者对三个目标ESXi数据存储分别执行了脚本，因此为每个加密过程创建了一个新的密钥。该脚本不传输密钥，而是将它们写入文件系统，并使用硬编码的公钥进行加密。

“Python是预先安装在基于linux的系统(如ESXi)上的，这使得基于Python的攻击可能发生在这些系统上。ESXi服务器对勒索软件威胁者来说是一个有吸引力的目标，因为它们可以一次攻击多个虚拟机，其中每个虚拟机都可能运行关键业务应用程序或服务，”Sophos首席研究员Andrew Brandt说。

消息来源：SecurityWeek，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc ” 并附上原文链接