Sophos 研究人員在一次超高速攻擊中發現了鎖定 ESXi 伺服器和虛擬機器的新型 Python 勒索軟體

Sophos 是新一代網路安全領域的全球領導者，發布了使用 Python 編寫的最新勒索軟體的詳細資訊，攻擊者曾利用該軟體破壞和加密託管在 ESXi 虛擬機器管理程序上的虛擬機器。這份《Python 勒索軟體指令碼鎖定 ESXi 伺服器進行加密》報告詳細介紹了一次彷彿狙擊手般的攻擊，從破解到加密只用了不到三個小時的時間。

Sophos 首席研究員 Andrew Brandt 表示：「這是 Sophos 調查過速度最快的勒索軟體攻擊之一，它似乎精確瞄準了 ESXi 平台。Python 是一種不常用於勒索軟體的程式語言。但是，Python 預載在 Linux 系統 (例如 ESXi) 上，這使得利用 Python 進行攻擊成為可能。ESXi 伺服器之所以會吸引勒索軟體威脅行動者，因為他們可以同時利用它攻擊多個虛擬機器，而每個虛擬機器都可能正在執行關鍵業務應用程式或服務。鎖定虛擬機器管理程序的攻擊既快速又具有高度破壞性。包括 DarkSide 和 REvil 在內的勒索軟體操作者都已將 ESXi 伺服器視為攻擊目標。」

攻擊時間軸

Sophos 調查顯示，攻擊在週日凌晨 12 點 30 分開始。當時勒索軟體操作者駭進了一台電腦上的 TeamViewer 帳戶，該帳戶屬於同時擁有網域管理員存取憑證的使用者。

據調查人員稱，10 分鐘後，攻擊者就使用 Advanced IP Scanner 工具在網路上尋找目標。調查人員認為網路上的 ESXi 伺服器有漏洞，因為它有一個可使用的 Shell，IT 團隊利用這個程式化介面來執行命令和更新。這使得攻擊者可以在網域管理員的機器上安裝一個名為 Bitvise 的安全網路通訊工具，然後藉此從遠端操作 ESXi 系統，包括虛擬機器使用的虛擬磁碟檔案。凌晨 3 點 40 分左右，攻擊者部署勒索軟體並加密了 ESXi 伺服器上託管的虛擬硬碟。

安全建議

Brandt 認為：「在網路上執行 ESXi 或其他虛擬機器管理程序的系統管理員應遵循安全最佳作法。包括使用獨特且難以暴力破解的密碼，並在可能時強制使用多因素驗證。除員工使用 ESXi Shell 進行日常維護，例如安裝修補程式等外，就應該停用 ESXi Shell。IT 團隊可以透過使用伺服器主控台上的控制項目或廠商提供的軟體管理工具來做到這一點。」

Sophos 端點產品如 Intercept X，可偵測勒索軟體和其他攻擊的操作和行為來保護使用者。CryptoGuard 功能可阻止試圖加密檔案的行為。適用於 ESXi 虛擬機器管理程序的安全指引已經發布。

Sophos 進一步推薦以下最佳標準作法，以協助防禦勒索軟體和相關網路攻擊：

在戰略層面

·        部署分層式保護。隨著越來越多的勒索軟體攻擊開始使用不給錢就外洩的敲詐方式，備份仍然是必要的，但還不夠。比以往更重要的是先將敵人拒之門外，或者在傷害造成之前就找出它們。使用分層式保護盡可能在組織環境內的每一點阻止和偵測攻擊者

·        結合人類專家和反勒索軟體技術。阻止勒索軟體的關鍵是深度防禦，它結合了專用的反勒索軟體技術和人為主導的威脅捕獵。技術可提供組織所需的規模和自動化，而人類專家有能力偵測出有意義的策略、技術和象徵攻擊者正試圖進入環境的程序。如果組織內部沒有相關技能，可以尋求使用網路安全專家的支援

在日常戰術層面

• 監控和回應警示。確保有適當的工具、流程和資源 (人員) 可用於監控、調查和回應環境中的威脅。勒索軟體攻擊者通常會在非高峰時段、週末或假期發動攻擊，假設只有少數或沒有人會發現

• 設置和強制執行強式密碼。強式密碼是第一道防線。密碼應該是唯一且複雜的，而且永遠不要重複使用。使用可以儲存員工憑證的密碼管理器能更容易實現這一點

• 使用多重驗證 (MFA)。即使是強式密碼也可能被破解。在使用電子郵件、遠端管理工具和網路資產等關鍵資源時，任何形式的多因素驗證都比沒有好

• 關閉可存取的服務。從外部執行網路掃描，識別並鎖定 VNC、RDP 或其他遠程存取工具常用的連接埠。如果需要使用遠程管理工具存取電腦，請將該工具置於 VPN 之後，或使用 MFA 當成零信任網路存取解決方案的一部分

• 實作區段化和零信任。在採用零信任網路模型時，請將關鍵伺服器與其他伺服器和工作站分開，將其置入單獨的 VLAN 中

• 對資訊和應用程式進行離線備份。使備份保持最新狀態，確保其可復原性並讓一份副本離線

• 清點您的資產和帳戶。網路中未知、未受保護和未修補的裝置會增加風險並導致惡意活動被忽視。取得所有環境中所有連線電腦的最新清單非常重要。使用網路掃描、IaaS 工具和實體檢查來找到和記錄它們，並在缺乏保護的電腦上安裝端點保護軟體

• 確保安全產品設定正確。保護不足的系統和裝置也很容易受到攻擊。確保正確設定安全解決方案並定期檢查，以及在必要時驗證和更新安全政策非常重要。新的安全功能不見得總是自動啟用。不要停用竄改防護或建立大範圍的偵測排除，因為這樣做會使攻擊者更容易得逞

• 稽核 Active Directory (AD)。定期稽核 AD 中的所有帳戶，確保沒有人擁有超出工作所需的存取權限。離職員工離開公司後立即停用他們的帳戶

• 修補一切。使 Windows 和其他作業系統和軟體保持最新。這也意味著要再次檢查是否已正確安裝修補程式，以及連線到網際網路的電腦或網域控制站等關鍵系統已經修補了。

若要了解更多資訊，請閱讀 SophosLabs Uncut 中關於Python 勒索軟體的文章。

其他資源

• SophosLab Uncut 上取得針對不同類型威脅的策略、技術和程序 (TTP) 以及更多內容，可使用 Sophos 最新的威脅情報

• 在Sophos 新聞上找到攻擊者行為、事件報告和針對安全營運專業人員的建議

• 了解 Sophos Rapid Response 服務的更多資訊，該服務可全天候遏阻、消除和調查攻擊

• Sophos Rapid Response 和 Managed Threat Response 團隊對回應安全事件的四個重要提示

• 由我們獲獎的 Naked Security 取得最新的安全新聞和觀點，並由 Sophos News 觀看更多關於我們的介紹。

關於 Sophos

Sophos 是新一代網路安全的全球領導者，保護 150 多個國家/地區的 50 萬家企業和數百萬消費者免受當今最先進的網路威脅的危害。透過來自 SophosLabs 和 SophosAI 的威脅情報、人工智慧和機器學習，Sophos 提供多種先進的產品和服務組合，保護使用者、網路和端點免於勒索軟體、惡意軟體、漏洞利用、網路釣魚和其他網路攻擊。Sophos 提供一個整合式的雲端管理主控台 Sophos Central，這是自適應網路安全生態系統的核心，使用一個提供一整組開放式 API 的資料湖，可供客戶、合作夥伴、開發人員和其他網路安全廠商使用。Sophos 透過經銷商合作夥伴和託管服務供應商 (MSP) 在全球銷售產品和服務。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com。