Une attaque récemment observée a utilisé une variante de ransomware basée sur Python pour cibler le serveur VMware ESXi d’une organisation et chiffrer tous les disques virtuels, rapporte Sophos.

L’attaque impliquait l’utilisation d’un script Python personnalisé qui, une fois exécuté sur l’hyperviseur de la machine virtuelle de l’organisation cible, mettait toutes les machines virtuelles hors ligne.

Les attaquants, expliquent les chercheurs en sécurité de Sophos, ont été assez rapides pour exécuter le ransomware : le processus de chiffrement a commencé environ trois heures après la compromission initiale.

Pour l’accès initial, les attaquants ont compromis un compte TeamViewer qui n’avait pas d’authentification multifacteur configurée et qui s’exécutait en arrière-plan sur un ordinateur appartenant à un utilisateur disposant d’informations d’identification d’administrateur de domaine.

Les attaquants ont attendu minuit 30 dans le fuseau horaire de l’organisation pour se connecter, puis ont téléchargé et exécuté un outil pour identifier les cibles sur le réseau, ce qui leur a permis de trouver un serveur VMware ESXi, explique Sophos.

Vers 2 heures du matin, les attaquants ont récupéré un client SSH pour se connecter au serveur, tirant parti du service SSH intégré ESXi Shell qui peut être activé sur les serveurs ESXi à des fins de gestion.

Trois heures après la première analyse du réseau, les attaquants se sont connectés à ESXi Shell, ont copié le script Python, puis l’ont exécuté pour chaque volume de disque de banque de données, chiffrant ainsi le disque virtuel et les fichiers de paramètres des machines virtuelles.

Le script ne fait que 6 Ko, mais permet aux attaquants de le configurer avec plusieurs clés de cryptage, ainsi qu’avec diverses adresses e-mail et avec le suffixe de fichier à ajouter aux fichiers cryptés.

Selon Sophos, le script contient plusieurs clés de chiffrement codées en dur et une routine pour générer encore plus de clés, ce qui a conduit les chercheurs à la conclusion que le ransomware crée une clé unique à chaque exécution.

Ainsi, dans cette attaque particulière, parce que les attaquants ont exécuté le script…