Обнаружен Python-шифровальщик, нацеленный на серверы Jupyter Notebook

Обнаружен Python-шифровальщик, нацеленный на серверы Jupyter Notebook

В ханипот-ловушку Aqua Security попался незнакомый шифровальщик, написанный на Python. Как оказалось, новоявленный зловред ориентирован на корпоративные окружения, использующие среду разработки Jupyter Notebook.

Это интерактивное веб-приложение с открытым исходным кодом предназначено для работы с данными. Продукт позволяет создавать и запускать коды на разных языках программирования, визуализировать результаты анализа, обмениваться блокнотами и публиковать их в интернете. Среди пользователей софта числятся Microsoft, IBM, Google, Oracle, а также ряд американских ВУЗов.

Найденный образец шифровальщика был похож на других Python-собратьев (об одном из них, нацеленном на VMware ESXi, рассказала Sophos в октябре прошлого года). Не исключено, что автор зловреда попросту позаимствовал чьи-то исходники и приспособил их для своих нужд.

Анализ также показал, что это не полнофункциональный шифровальщик; так, аналитики не нашли свидетельств существования записки с требованием выкупа. В Aqua полагают, что им попался тестовый семпл — либо время соединения с ловушкой истекло до завершения атаки. Тем не менее, эксперты уверены, что это не вайпер: зловред не стирает данные и не пытается вывести их на сторонний сервер.

Вредоносная атака начинается с поиска возможностей для взлома: пользователь Jupyter Notebook может допустить ошибку при настройке веб-приложения или упустить из виду защиту доступа. Для проверки уязвимости сервера злоумышленники также пытаются дистанционно загрузить на него текстовый файл с именем f1gl6i6z (в папку /tmp).

Этот файл содержит единственное слово — bl*t, которое навело исследователей на мысль, что авторами атаки могут быть русскоязычные хакеры. Такой же файл аналитики из Aqua не раз находили ранее при разборе атак криптоджекеров на серверы с установленным софтом Jupyter.

Взломав уязвимое приложение брутфорсом, автор атаки открывает шелл-доступ к серверу, используя соответствующую функцию Jupyter Notebook, затем загружает на него необходимые инструменты (напрмер, шифраторы), вручную создает вредоносный скрипт (вставкой Python-кода) и запускает его на исполнение. Итоговый зловред шифрует каждый файл в заданной папке с помощью пароля, также выбранного вручную, и по завершении процесса удаляет себя из системы.

 

В комментарии для SecurityWeek представитель Aqua отметил, что они обнаружили в интернете свыше 11 тыс. серверов с Jupyter Notebooks. Некоторые из них могут оказаться ловушками, однако остальные потенциально уязвимы для подобных атак.

Поскольку интерактивная платформа Jupyter используется для анализа данных и построения моделей данных, новый Python-шифровальщик может причинить большой ущерб организациям, пренебрегающим резервным копированием. Эксперты рекомендуют защитить Jupyter Networks адекватной аутентификацией, ограничить права пользователям, использовать SSL для передачи данных и отключить интернет-доступ к таким серверам — или организовать его через VPN.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Повторный отказ заземлить ПДн россиян может стоить WhatsApp 18 млн рублей

Дело в отношении WhatsApp LLC завели в Москве накануне. Мессенджер продолжает собирать данные российских пользователей за пределами страны. Теперь компании грозит от 6 млн рублей до 18 млн рублей.

Заседание назначили на 28 июля, дело рассмотрит Таганский районный суд. Об этом сообщает портал мировых судей Москвы.

Дело возбуждено по протоколу Роскомнадзора, уточняет РИА “Новости”. Речь идет о ч.9 статьи 13.11 Кодекса об административных нарушениях — повторный отказ локализовать данные российских пользователей на территории страны.

Прошлым летом WhatsApp уже заплатил за отказ “заземлить” данные 4 млн рублей. Сейчас “вилка” штрафа — от 6 млн до 18 млн рублей.

То же самое касается музыкального сервиса Spotify и компании Snap (владелец приложения Snapchat). На них завели дела по той же статье КоАП. Каждому грозит штраф до 6 млн рублей.

WhatsApp принадлежит Meta, она признана в России экстремистской. Деятельность компании запрещена, но сам мессенджер под эмбарго не попал. Год назад WhatsApp,Twitter (заблокирована в России) и Facebook (запрещена и заблокирована) оштрафовали на общую сумму в 36 млн рублей.

По закону о персональных данных оператор должен собирать и хранить ПДн россиян на территории страны. Накануне Госдума приняла новый вариант 152-ФЗ, но это норма там остаётся.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru