С момента взлома до шифрования виртуальных дисков на сервере VMware ESXi прошло чуть более трех часов.
Операторы неизвестного вымогательского ПО использовали Python-скрипт для шифрования виртуальных машин, размещенных на серверах VMware ESXi.
По словам исследователей в области кибербезопасности из компании, скрипт программы-вымогателя на языке Python использовался для шифрования виртуальных машин, работающих на уязвимом гипервизоре ESXi. Как отметили эксперты, с момента первоначального взлома до шифрования виртуальных дисков на сервере VMware ESXi прошло чуть более трех часов.
Злоумышленники взломали сеть жертвы, войдя в учетную запись TeamViewer, запущенную на устройстве с авторизованным администратором домена. Оказавшись в сети, преступники начали поиск дополнительных целей с помощью Advanced IP Scanner и вошли на сервер ESXi через встроенную службу SSH ESXi Shell, которая была случайно оставлена включенной IT-персоналом (хотя по умолчанию она отключена).
Затем операторы вымогательского ПО выполнили Python-скрипт размером 6 КБ для шифрования виртуальных дисков всех виртуальных машин и файлов конфигураций. Скрипт позволяет операторам программы-вымогателя использовать несколько ключей шифрования и адресов электронной почты, а также настраивать суффикс файла для зашифрованных файлов. Программа выключает виртуальные машины, перезаписывает исходные файлы, хранящиеся на томах хранилища данных, а затем удаляет их с целью пресечения попыток восстановления.