Python Ransomware ตัวใหม่ กำลังมุ่งเป้าไปที่ระบบที่ใช้ Jupyter Notebook

Jupyter Notebook เป็น open source web environment ที่ใช้สำหรับการวิเคราะห์ข้อมูล และสร้างโมเดลข้อมูล เพื่อจำลองข้อมูลของ data science, computing และ machine learning ซึ่งรองรับภาษาโปรแกรมมากกว่า 40 ภาษา และถูกใช้โดยบริษัทต่างๆ รวมถึง Microsoft, IBM และ Google ควบคู่ไปกับมหาวิทยาลัยหลายแห่ง ล่าสุดทางทีม Nautilus ของ Aqua Security เพิ่งได้ค้นพบมัลแวร์ใหม่บนเครื่องมือที่เป็นที่นิยมนี้

ในขณะที่ Jupyter Notebook อนุญาตให้ผู้ใช้แบ่งปันเนื้อหากับผู้อื่น ให้สามารถเข้าถึงข้อมูลได้อย่างปลอดภัยผ่าน Account credential หรือ tokens แต่บางครั้งผู้ใช้งานก็ไม่ได้มีการตั้งค่าบน AWS buckets ไว้อย่างถูกต้อง และปลอดภัย ซึ่งจะทำให้ใครก็สามารถเปิดดูข้อมูลได้ ซึ่ง Python ransomware นี้ ก็จะมุ่งเป้าไปยังเครื่องที่มีความเสี่ยงในการโดนโจมตีเหล่านี้

นักวิจัยได้สร้าง honeypot ที่มีแอปพลิเคชั่น Jupyter Notebook ที่เปิดเผยข้อมูล เพื่อสังเกตพฤติกรรมของมัลแวร์ โดยพบว่าเมื่อแรนซัมแวร์เข้าถึงเซิร์ฟเวอร์ได้ มันจะทำการเปิด terminal เพื่อดาวน์โหลดเครื่องมือที่ใช้ในการโจมตีอื่นๆ รวมทั้งตัวเข้ารหัส จากนั้นจึงสร้างสคริปต์ Python เพื่อติดตั้งแรนซัมแวร์

เมื่อการโจมตีจบลง ทางทีม Nautilus สามารถเก็บข้อมูลได้มากพอที่จะนำมาจำลองการโจมตีดังกล่าว โดยที่ตัวเข้ารหัสจะคัดลอก และเข้ารหัสไฟล์ ลบเนื้อหาที่ไม่ได้เข้ารหัส และทำการลบตัวเองออกจากระบบ

(more…)