Erster auf Python basierenden Ransomware-Angriff aufgedeckt

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Team Nautilus, die auf den cloud-nativen Technologie-Stack spezialisierte Forschungseinheit von Aqua Security, hat eine neue Angriffsmethode entdeckt, über die Cyberkriminelle Unternehmen mit Ransomware angreifen können. Das Team konnte erstmals einen auf Python basierenden Ransomware-Angriff aufdecken, der auf die bei Datenexperten beliebte Open-Source-Software Jupyter Notebook zielt.

Die Angreifer verschaffen sich zunächst über falsch konfigurierte Umgebungen Zugang und führen dann ein Ransomware-Skript aus, das jede Datei in einem bestimmten Pfad auf dem Server verschlüsselt und sich nach der Ausführung selbst löscht, um den Angriff zu verschleiern. Da Jupyter Notebook zur Analyse von Daten und zur Erstellung von Datenmodellen verwendet wird, kann dieser Angriff zu erheblichen Schäden in Unternehmen führen, wenn diese Umgebungen nicht ordnungsgemäß gesichert sind.

Anzeige

Unternehmen und Forscher sind gefährdet

Die Forscher richteten einen Honeypot mit einer Jupyter-Anwendung ein, die mit dem Internet verbunden war und eine reale Unternehmensumgebung simulieren sollte. Sie enthielt somit Zugriff auf echte Instanzen von Jupyter Notebooks und Rohdaten, die der Angreifer verschlüsseln konnte. Tracee of Aqua Security, ein Open-Source-Laufzeit-Sicherheits- und Forensik-Tool für Linux, wurde zur Erkennung des Angriffs eingesetzt.

So greifen Cyberkriminelle über die beliebte Software Jupyter Notebooks mit Ransomware an (Bild: Aqua Security).

Für Nutzer von Jupyter Notebook gibt es einige Empfehlungen, um sich gegen diese Methode zu schützen

  • Verwenden Sie Token oder eine andere Authentifizierungsmethode, um den Zugriff auf Ihre Datenentwicklungsanwendung zu kontrollieren.
  • Stellen Sie sicher, dass Sie SSL verwenden, um die Daten während der Übertragung zu schützen.
  • Begrenzen Sie den eingehenden Datenverkehr zur Anwendung, indem Sie entweder den Internetzugang vollständig blockieren oder, wenn die Umgebung einen Internetzugang erfordert, Netzwerkregeln oder VPN zur Kontrolle des eingehenden Datenverkehrs verwenden. Es wird auch empfohlen, den ausgehenden Zugriff zu beschränken.
  • Führen Sie Ihre Anwendungen mit einem nicht privilegierten Benutzer oder einem Benutzer mit eingeschränkten Rechten aus.
  • Sein Sie sich sicher, dass Sie alle Benutzer des Jupyter-Notebooks kennen. Sie können die Benutzer in einer Sqlite3-Datenbank abfragen, die Sie unter folgendem Pfad finden sollten: ‚./root/.local/share/jupyter/nbsignatures.db‘. Wenn der SSH-Zugang zum Server aktiviert ist, können Sie auch die Dateien mit den autorisierten SSH-Schlüsseln überprüfen, um sicherzustellen, dass Sie alle Schlüssel kennen und dass es keine unbekannten Benutzer oder Schlüssel gibt.

Aqua Security hat einen detaillierten Blog veröffentlicht, in dem der Honeypot des Team Nautilus und die Kill Chain der beobachteten Angriffe detailliert beschrieben werden: Threat Alert: First Python Ransomware Attack Targeting Jupyter Notebooks.

Anzeige

Mehr bei Aquasec.com

 


Über Aqua Security

Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.


 

Passende Artikel zum Thema

Entspannung beim Fachkräftemangel in der IT-Sicherheit

Die Welt steht still, so scheint es, doch der Schein trügt. Wie für so viele IT-Themen gehören auch Managed Security ➡ Weiterlesen

Forscher decken Angriffe auf europäische Luftfahrt- und Rüstungskonzerne auf

ESET-Forscher decken gezielte Angriffe gegen hochkarätige europäische Luftfahrt- und Rüstungskonzerne auf. Gemeinsame Untersuchung in Zusammenarbeit mit zwei der betroffenen europäischen Unternehmen ➡ Weiterlesen

Trends und Tipps zur Weiterentwicklung moderner CISOs

Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft "Building the Future of Security Leadership"(Aufbau künftiger Sicherheitsexperten). ➡ Weiterlesen

Java-Malware kopiert Passwörter

G Data-Forscher decken auf: Java-Malware kopiert Passwörter und ermöglicht auch noch die Fernsteuerung via RDP. Eine in Java entwickelte neu ➡ Weiterlesen

Vertrauen auf VPN für den sicheren Zugriff

SANS Institute, ein Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Untersuchung „Remote Worker Poll“ zur Verbreitung von Home Office Security ➡ Weiterlesen

Hackergruppe gibt auf und veröffentlicht Schlüssel

Manchmal beschleicht wohl auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an ➡ Weiterlesen

Bösartige Chrome Extensions führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten ➡ Weiterlesen

Ransomware: Das Wirtschaftssystem hinter der Daten-Geiselnahme

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches ➡ Weiterlesen