Η Team Nautilus αποκάλυψε μια επίθεση ransomware που βασίζεται σε Python, η οποία, για πρώτη φορά, στοχεύει το Jupyter Notebook, ένα δημοφιλές εργαλείο που χρησιμοποιείται από επαγγελματίες δεδομένων.
Δείτε επίσης: SunCrypt ransomware: Νέα έκδοση με περισσότερες δυνατότητες
Το Jupyter Notebook είναι ένα περιβάλλον web ανοιχτού κώδικα για οπτικοποίηση δεδομένων. Το αρθρωτό λογισμικό χρησιμοποιείται για τη μοντελοποίηση δεδομένων στην επιστήμη των δεδομένων, στους υπολογιστές και στο machine learning. Το έργο υποστηρίζει περισσότερες από 40 γλώσσες προγραμματισμού και χρησιμοποιείται από εταιρείες όπως η Microsoft, η IBM και η Google, μαζί με πολλά πανεπιστήμια.
Η ομάδα Nautilus της Aqua Security ανακάλυψε πρόσφατα malware που έχει εστιάσει σε αυτό το δημοφιλές εργαλείο δεδομένων.
Ενώ το Jupyter Notebook επιτρέπει στους χρήστες να μοιράζονται το περιεχόμενό τους με αξιόπιστες επαφές, η πρόσβαση στην εφαρμογή διασφαλίζεται μέσω account credentials ή tokens. Ωστόσο, με τον ίδιο τρόπο που μερικές φορές οι επιχειρήσεις δεν ασφαλίζουν τους κάδους AWS τους, αφήνοντάς τους ανοιχτούς για να τους δει ο καθένας, έχουν εντοπιστεί και εσφαλμένα misconfigurations Notebook.
Το Python ransomware στοχεύει εκείνους που κατά λάθος έχουν αφήσει το περιβάλλον τους ευάλωτο.
Οι ερευνητές δημιούργησαν ένα honeypot που περιέχει μια εκτεθειμένη εφαρμογή Jupyter notebook για να παρατηρήσουν τη συμπεριφορά του malware. Ο χειριστής ransomware είχε πρόσβαση στον server, άνοιξε ένα terminal, κατέβασε ένα σύνολο κακόβουλων εργαλείων — συμπεριλαμβανομένων των κρυπτογραφητών — και στη συνέχεια δημιούργησε με χειροκίνητο τρόπο ένα script Python που εκτελούσε ransomware.
Δείτε επίσης: Hive ransomware: Αλλάζει τον κρυπτογραφητή Linux VMware ESXi σε Rust
Ενώ η επίθεση σταμάτησε χωρίς να τελειώσει την δουλειά, η Team Nautilus μπόρεσε να αρπάξει αρκετά δεδομένα για να προσομοιώσει την υπόλοιπη επίθεση σε περιβάλλον εργαστηρίου. Ο κρυπτογραφητής θα θα αντέγραφε και στη συνέχεια θα κρυπτογραφούσε τα αρχεία, θα διέγραφε οποιοδήποτε μη κρυπτογραφημένο περιεχόμενο και θα διέγραφε τον εαυτό του.
Θα πρέπει να σημειωθεί ότι δεν συμπεριλήφθηκε κανένα σημείωμα λύτρων ως μέρος του πακέτου, το οποίο η ομάδα υποπτεύεται ότι υποδηλώνει ένα από τα δύο πράγματα: είτε ο εισβολέας πειραματιζόταν με τη δημιουργία του στο honeypot, είτε το χρονικό όριο του honeypot έληξε πριν ολοκληρωθεί η επίθεση ransomware.
Συνολικά, αυτή η επίθεση είναι απλή, σε αντίθεση με πιο εξελιγμένο ransomware που χρησιμοποιεί προηγμένες τεχνικές, όπως Locky, Ryuk, WannaCry ή ransomware-as-a-service όπως το GandCrab.
Οι ενδείξεις υποδεικνύουν ότι ο απειλητικός παράγοντας θα μπορούσε να είναι από τη Ρωσία, και εάν είναι ο ίδιος εισβολέας, έχει συνδεθεί στο παρελθόν με επιθέσεις cryptomining σε περιβάλλονταJupyterLab και Jupyter notebooks.
Δείτε επίσης: Τα BEC scams κοστίζουν στα θύματα περισσότερα από το ransomware
Μια αναζήτηση στο Shodan αποκαλύπτει ότι αρκετές εκατοντάδες περιβάλλοντα internet-facing Notebook Jupyter είναι ανοιχτά και προσβάσιμα. Φυσικά, μερικά από αυτά μπορεί να είναι honeypot, αλλά όχι όλα. Πιστεύουμε ότι αυτή η επίθεση μπορεί να υποδεικνύει μια καμπάνια που εκτελεί ransomware σε αυτούς τους servers.
Πηγή πληροφοριών: zdnet.com
