Forscher haben den ersten Python-basierten Ransomware-Stamm entdeckt, der speziell für Jupyter-Notebooks entwickelt wurde, eine webbasierte, interaktive Computerplattform, die das Bearbeiten und Ausführen von Programmen über einen Browser ermöglicht.
„Die Angreifer verschafften sich zunächst über falsch konfigurierte Umgebungen Zugang und führten dann ein Ransomware-Skript aus, das jede Datei in einem bestimmten Pfad auf dem Server verschlüsselt und sich nach der Ausführung selbst löscht, um den Angriff zu verbergen“, so Assaf Morag, Datenanalyst bei Aqua Security, in einem Bericht.
Das neue Ransomware-Sample, das das Cloud-Sicherheitsunternehmen entdeckte, nachdem es in einem seiner Honeypot-Server gefangen war, soll ausgeführt worden sein, nachdem sich der ungenannte Angreifer Zugang zu dem Server verschafft und die notwendigen Tools heruntergeladen hatte, um den Verschlüsselungsprozess durch Öffnen eines Terminals durchzuführen.
Aqua Security bezeichnete den Angriff als „einfach und unkompliziert“, im Gegensatz zu anderen traditionellen Ransomware-as-a-Service (RaaS)-Schemata, und fügte hinzu, dass keine Lösegeldforderung auf dem System vorlag, was die Möglichkeit aufkommen lässt, dass der Bedrohungsakteur mit dem Modus Operandi experimentiert hat oder dass der Honeypot auslief, bevor er abgeschlossen werden konnte.
Die Identität des Angreifers ist nach wie vor unklar, obwohl Hinweise, die bei der Analyse des Vorfalls gefunden wurden, auf einen Akteur russischer Herkunft hindeuten, der Ähnlichkeiten mit früheren Kryptomining-Angriffen auf Jupyter-Notebooks aufweist.
„Da Jupyter-Notebooks zur Analyse von Daten und zur Erstellung von Datenmodellen verwendet werden, kann dieser Angriff Organisationen erheblichen Schaden zufügen, wenn diese Umgebungen nicht ordnungsgemäß gesichert sind“, so Morag.