Вымогатели зашифровали серверы VMware ESXi с помощью Python-скрипта

Вымогатели зашифровали серверы VMware ESXi с помощью Python-скрипта

С момента взлома до шифрования виртуальных дисков на сервере VMware ESXi прошло чуть более трех часов.

image

Операторы неизвестного вымогательского ПО использовали Python-скрипт для шифрования виртуальных машин, размещенных на серверах VMware ESXi.

По словам исследователей в области кибербезопасности из компании, скрипт программы-вымогателя на языке Python использовался для шифрования виртуальных машин, работающих на уязвимом гипервизоре ESXi. Как отметили эксперты, с момента первоначального взлома до шифрования виртуальных дисков на сервере VMware ESXi прошло чуть более трех часов.

Злоумышленники взломали сеть жертвы, войдя в учетную запись TeamViewer, запущенную на устройстве с авторизованным администратором домена. Оказавшись в сети, преступники начали поиск дополнительных целей с помощью Advanced IP Scanner и вошли на сервер ESXi через встроенную службу SSH ESXi Shell, которая была случайно оставлена ​​включенной IT-персоналом (хотя по умолчанию она отключена).

Затем операторы вымогательского ПО выполнили Python-скрипт размером 6 КБ для шифрования виртуальных дисков всех виртуальных машин и файлов конфигураций. Скрипт позволяет операторам программы-вымогателя использовать несколько ключей шифрования и адресов электронной почты, а также настраивать суффикс файла для зашифрованных файлов. Программа выключает виртуальные машины, перезаписывает исходные файлы, хранящиеся на томах хранилища данных, а затем удаляет их с целью пресечения попыток восстановления.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!