Вымогатели зашифровали серверы VMware ESXi с помощью Python-скрипта

Ср 6 Октябрь 2021 09:31

Операторы неизвестного вымогательского ПО использовали Python-скрипт для шифрования виртуальных машин, размещенных на серверах VMware ESXi.

По словам исследователей в области кибербезопасности из компании, скрипт программы-вымогателя на языке Python использовался для шифрования виртуальных машин, работающих на уязвимом гипервизоре ESXi. Как отметили эксперты, с момента первоначального взлома до шифрования виртуальных дисков на сервере VMware ESXi прошло чуть более трех часов.

Злоумышленники взломали сеть жертвы, войдя в учетную запись TeamViewer, запущенную на устройстве с авторизованным администратором домена. Оказавшись в сети, преступники начали поиск дополнительных целей с помощью Advanced IP Scanner и вошли на сервер ESXi через встроенную службу SSH ESXi Shell, которая была случайно оставлена ​​включенной IT-персоналом (хотя по умолчанию она отключена).

Затем операторы вымогательского ПО выполнили Python-скрипт размером 6 КБ для шифрования виртуальных дисков всех виртуальных машин и файлов конфигураций. Скрипт позволяет операторам программы-вымогателя использовать несколько ключей шифрования и адресов электронной почты, а также настраивать суффикс файла для зашифрованных файлов. Программа выключает виртуальные машины, перезаписывает исходные файлы, хранящиеся на томах хранилища данных, а затем удаляет их с целью пресечения попыток восстановления.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 301 день 5 часов 13 минут 57 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.