Onderzoekers hebben onthuld wat volgens hen de allereerste op Python gebaseerde ransomware-stam is die speciaal is ontworpen om zich te richten op blootgestelde Jupyter-notebooks, een webgebaseerd interactief computerplatform waarmee programma’s via een browser kunnen worden bewerkt en uitgevoerd.
“De aanvallers kregen aanvankelijk toegang via verkeerd geconfigureerde omgevingen, voerden vervolgens een ransomware-script uit dat elk bestand op een bepaald pad op de server versleutelt en zichzelf na uitvoering verwijdert om de aanval te verbergen”, zegt Assaf Morag, een data-analist bij Aqua Security. zei in een rapport.
Het nieuwe ransomware-exemplaar, dat het cloudbeveiligingsbedrijf ontdekte nadat het vastzat in een van zijn honeypot-servers, zou zijn uitgevoerd nadat de naamloze tegenstander toegang had gekregen tot de server en de benodigde tools had gedownload die nodig zijn om het coderingsproces uit te voeren door een terminal openen.
Aqua Security karakteriseerde de aanval als “eenvoudig en duidelijk”, in tegenstelling tot andere traditionele ransomware-as-a-service (RaaS)-schema’s, en voegde eraan toe dat er geen losgeldbrief op het systeem werd gepresenteerd, waardoor de mogelijkheid werd vergroot dat de dreigingsactor ermee aan het experimenteren was. de modus operandi, of dat de honeypot een time-out had voordat deze voltooid kon zijn.
De identiteit van de aanvaller blijft onduidelijk, hoewel bewijsmateriaal dat tijdens de incidentanalyse is opgegraven, wijst op een acteur van Russische afkomst, die overeenkomsten aanhaalt met eerdere cryptomining-aanvallen gericht op Jupyter-notebooks.
“Omdat Jupyter-notebooks worden gebruikt om gegevens te analyseren en gegevensmodellen te bouwen, kan deze aanval leiden tot aanzienlijke schade aan organisaties als er geen goede back-up van deze omgevingen wordt gemaakt”, aldus Morag.
