Bilinmeyen bir fidye yazılımı çetesini, VMware ESXi sunucularında barındırılan sanal makineleri şifrelemek için bir Python scripti kullandılar. Python programlama dili, fidye yazılımı geliştirmede yaygın olarak kullanılmasa da, bu tür Linux tabanlı sunucuların varsayılan olarak Python yüklü olarak geldiği düşünüldüğünde saldırganlar için ESXi iyi bir seçim oluyor.
Sophos araştırmacılarının yakın zamanda bir fidye yazılımı olayını araştırırken keşfettiği ve ilk ihlalden sonraki üç saat içinde savunmasız bir ESXi üzerinde çalışan sanal makinelerini şifrelemek için bir Python fidye yazılım komut dosyasının kullanıldığını tespit ettiler. SophosLabs araştırmacısı Andrew Brandt, “Bir fidye yazılımı saldırısına ilişkin yakın zamanda tamamlanan bir soruşturma saldırganların tüm sanal diskleri şifrelemek için hedefin sanal makine alt yapısında özel bir Python betiği çalıştırdığını ve kuruluşun VM’lerini şifrelediğini ortaya çıkardı.” dedi.
Tüm sallaştırma alt yapısı sadece 6 kb boyutunda python scripti ile şifrelendi
Saldırganlar, bir domain yöneticisinin oturum açmış olduğu bir cihazda çalışan bir TeamViewer hesabına giriş yaparak hafta sonu boyunca tüm ağa eriştiler. İçeri girdikten sonra gelişmiş IP tarayıcılar kullanarak ağda hedefleri aramaya başladılar ve yanlışlıkla BT personeli tarafından açık bırakılan yerleşik SSH ESXi Shell aracılığıyla ESXi sunucusunda oturum açtılar. Daha sonra tüm sanal makinelerin sanal diskini ve VM ayar dosyalarını şifrelemek için 6 kb’lik bir Python scripti çalıştırdılar.
VMware ESXi sunucuları saldırı altında
Sadırganlar için son zamanlarda ESXi sunucuları gözde hedeflerden biri haline geldi. Bunun nedeni Dünyada en çok kullanılan sanallaştırma alt yapılarından birisi olması ve sanallaştırma alt yapısının ele geçirildikten sonra tüm vm’lerin disklerini şifreleyebilmeleri.
Bu güne kadar, Darkside, RansomExx ve Babuk Locker dahil olmak üzere birden fazla fidye yazılımı çetesi merkezi depolama alanı olarak kullanılan sanal sabit diskleri şifrelemek için VMWare ESXi RCE zafiyetinden yararlandı.
Kaynak: bleepingcomputer.com
