Server VMware ESXi crittografati con ransomware tramite script Python

Ci sono volute poco più di tre ore dal momento dell’hack per crittografare i dischi virtuali sul server VMware ESXi.

Gli operatori di ransomware sconosciuti hanno utilizzato uno script Python per crittografare le macchine virtuali ospitate sui server VMware ESXi.

Secondo i ricercatori di sicurezza informatica dell’azienda, uno script ransomware Python è stato utilizzato per crittografare le macchine virtuali in esecuzione su un hypervisor ESXi vulnerabile. Ci sono volute poco più di tre ore dall’attacco iniziale alla crittografia dei dischi virtuali sul server VMware ESXi, hanno osservato gli esperti.

Gli aggressori hanno compromesso la rete della vittima accedendo a un account TeamViewer in esecuzione su un dispositivo con un amministratore di dominio autorizzato. Una volta online, i criminali hanno iniziato a cercare obiettivi aggiuntivi utilizzando Advanced IP Scanner e hanno effettuato l’accesso al server ESXi tramite il servizio ESXi Shell SSH integrato, che è stato accidentalmente lasciato abilitato dal personale IT (sebbene sia disabilitato per impostazione predefinita).

Gli operatori del ransomware hanno quindi eseguito uno script Python da 6 KB per crittografare i dischi virtuali di tutte le macchine virtuali e i file di configurazione. Lo script consente agli operatori di ransomware di utilizzare più chiavi di crittografia e indirizzi e-mail e personalizzare il suffisso del file per i file crittografati. Il programma spegne le macchine virtuali, sovrascrive i file originali archiviati sui volumi di archiviazione dei dati e quindi li elimina per contrastare i tentativi di ripristino.

Dario Fadda

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.

Vuoi commentare? Accendi la discussione

Torna in alto