Ci sono volute poco più di tre ore dal momento dell’hack per crittografare i dischi virtuali sul server VMware ESXi.
Gli operatori di ransomware sconosciuti hanno utilizzato uno script Python per crittografare le macchine virtuali ospitate sui server VMware ESXi.
Secondo i ricercatori di sicurezza informatica dell’azienda, uno script ransomware Python è stato utilizzato per crittografare le macchine virtuali in esecuzione su un hypervisor ESXi vulnerabile. Ci sono volute poco più di tre ore dall’attacco iniziale alla crittografia dei dischi virtuali sul server VMware ESXi, hanno osservato gli esperti.
Gli aggressori hanno compromesso la rete della vittima accedendo a un account TeamViewer in esecuzione su un dispositivo con un amministratore di dominio autorizzato. Una volta online, i criminali hanno iniziato a cercare obiettivi aggiuntivi utilizzando Advanced IP Scanner e hanno effettuato l’accesso al server ESXi tramite il servizio ESXi Shell SSH integrato, che è stato accidentalmente lasciato abilitato dal personale IT (sebbene sia disabilitato per impostazione predefinita).
Gli operatori del ransomware hanno quindi eseguito uno script Python da 6 KB per crittografare i dischi virtuali di tutte le macchine virtuali e i file di configurazione. Lo script consente agli operatori di ransomware di utilizzare più chiavi di crittografia e indirizzi e-mail e personalizzare il suffisso del file per i file crittografati. Il programma spegne le macchine virtuali, sovrascrive i file originali archiviati sui volumi di archiviazione dei dati e quindi li elimina per contrastare i tentativi di ripristino.