Este nuevo ransomware basado en Python despliega ataques en un tiempo récord

Un ransomware basado en Python -recientemente descubierto- está utilizando tácticas para lograr su intento malicioso en menos de tres horas. Los investigadores de Sophos han afirmado que es uno de los ataques más rápidos lanzados contra las víctimas en un tiempo récord.

Sophos reveló que una nueva variante de ransomware (escrita en Python) se implementó diez minutos después de que los atacantes irrumpieran en una cuenta de TeamViewer de la organización objetivo.

El acceso no autorizado a la cuenta de TeamViewer permitió a los atacantes identificar un servidor VMware ESXi vulnerable adecuado para la siguiente etapa del asalto. Los investigadores explicaron que el servidor probablemente era vulnerable a la explotación debido a un shell activo, y esto llevó a la instalación del software Bitvise.

Los actores de amenazas hicieron uso de Bitvise para aprovechar ESXi y otros archivos de disco virtual.

El ransomware incluye diferentes conjuntos de claves de cifrado, direcciones de correo electrónico y opciones para personalizar el sufijo para agregar los archivos cifrados.

Una vez instalado, el ransomware desactiva todas las máquinas virtuales y comienza el cifrado, lo que dificulta que las víctimas descifren los archivos.

Las máquinas virtuales se están convirtiendo en un objetivo valioso
Si bien la elección de Python para el ransomware muestra el enfoque en evolución de los atacantes, perseguir el servidor ESXi no es nada nuevo.
Anteriormente, se detectaron versiones de Linux de REvil, HelloKitty y DarkSide ransomware dirigidas a los servidores VMware ESXi para evadir la detección del software antivirus.

El creciente número de ataques de ransomware que aprovechan las máquinas virtuales es un problema urgente del que las organizaciones deben ocuparse. Fortalecer la seguridad de ESXi y otros hipervisores con contraseñas complejas es una de las mejores prácticas de seguridad para prevenir ataques. Siempre que sea posible, habilite el uso de MFA y aplique el mismo para las cuentas con permisos privilegiados, como los administradores de dominio.