攻击者利用Python 勒索软件加密 VMware ESXi 服务器

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

攻击者使用了一个自定义 Python 脚本，目标组织机构的虚拟机管理程序执行该脚本后会迫使所有的虚拟机下线。

Sophos 公司的安全研究员解释称，攻击者执行勒索软件的速度非常快：首次攻陷后约三小时后加密进程就启动了。

在初始访问时，攻击者攻陷了未设立多因素认证机制的 TeamViewer 账户，而该账户在具有Domain Administrator 凭据的用户所拥有的计算机后台运行。等待组织机构的时区到达午夜并过去30分钟后，攻击者开始登录之后下载并执行工具以识别网络上的目标，从而找到 VMware ESXi 服务器。

在凌晨2点左右，攻击者通过SSH客户端登录服务器，利用内置的 SSH 服务 ESXi Shell，在ESXi 服务器上启用以实现管理目的。

距离初次扫描3小时后，攻击者登录到 ESXi Shell，复制 Python 脚本，之后在每个数据库磁盘中执行，从而加密虚拟磁盘和虚拟机的设置文件。

虽然该脚本只有6kb 大小，但可使攻击者配置多个加密密钥、多个邮件地址以及作为加密文件后缀的文件。

Sophos 报道称，该脚本包含多个硬编码加密密钥以及用于生成更多密钥的例程，可使研究员认为勒索软件在每次运行时都会创建一个唯一密钥。

如此，在该特定攻击中，由于攻击者为三个目标 ESXi 数据存储器的每个都分别执行了该脚本，因此每个加密进程都创建了新密钥。该脚本虽然不传输密钥但会将密钥写入文件系统并通过硬编码公钥进行加密。

Sophos 公司的首席研究员 Andrew Brandt 表示，“Python 预装在基于 Linux 的系统如 ESXi 中，使得此类系统上很容易出现基于 Python 的攻击。ESXi 服务器是备受勒索软件威胁行动者青睐的目标，因为攻击者可立即攻击多个虚拟机，而其中每个虚拟机可运行对业务至关重要的应用程序或服务。”