Ce nouveau ransomware cible l’outil de visualisation de données Jupyter Notebook

Une nouvelle souche de rançongiciel Python cible les environnements utilisant Jupyter Notebook.

JupyterName Notebook est un environnement Web open source pour la visualisation de données. Le logiciel modulaire est utilisé pour modéliser des données en science des données, en informatique et en apprentissage automatique. Le projet prend en charge plus de 40 langages de programmation et est utilisé par des entreprises telles que Microsoft, IBM et Google, aux côtés de nombreuses universités.

Aqua sécurité Équipe Nautilus malware récemment découvert qui s’est concentré sur cet outil de données populaire.

Alors que Jupyter Notebook permet aux utilisateurs de partager leur contenu avec des contacts de confiance, l’accès à l’application est sécurisé via des identifiants de compte ou des jetons. Cependant, de la même manière que les entreprises ne sécurisent parfois pas leurs compartiments AWS, ils sont ouverts à tous pour qu’ils puissent les voir en quittant Notebook, des erreurs de configuration ont également été trouvées.

Le rançongiciel Python cible ceux qui ont accidentellement laissé leur environnement vulnérable.

Les chercheurs ont mis en place un pot de miel contenant une application de bloc-notes Jupyter exposée pour observer le comportement du logiciel malveillant. L’opérateur du rançongiciel a accédé au serveur, ouvert un terminal, téléchargé un ensemble d’outils malveillants, y compris des crypteurs, puis généré manuellement un script Python qui a exécuté le rançongiciel.

Alors que l’assaut s’est arrêté sans terminer le travail, l’équipe Nautilus a pu récupérer suffisamment de données pour simuler le reste de l’attaque dans un environnement de laboratoire. Le chiffreur copierait puis chiffrerait les fichiers, supprimerait tout contenu non chiffré et se supprimerait lui-même.

Sécurité aquatique

Il convient de noter qu’aucune note de rançon n’a été incluse dans le package, ce qui, selon l’équipe, indique l’une des deux choses suivantes : soit l’attaquant expérimentait sa création sur le pot de miel, soit le pot de miel a expiré avant la fin de l’attaque du ransomware.

Bien que l’attribution ne soit pas concrète, les chercheurs en cybersécurité disent qu’ils pourraient être “familiers” avec le mécréant en raison de leurs vérifications de marque avant le début d’une attaque.

Des indices indiquent que l’individu pourrait provenir de Russie, et s’il s’agit du même attaquant, ils ont été liés à des attaques de cryptojacking sur des environnements Jupyter dans le passé.

Une recherche Shodan révèle que plusieurs centaines d’environnements Jupyter Notebook accessibles sur Internet sont ouverts et accessibles (bien que certains puissent également être des pots de miel).

“Les attaquants ont obtenu un accès initial via des environnements mal configurés, puis ont exécuté un script de ransomware qui crypte chaque fichier sur un chemin donné sur le serveur et se supprime après l’exécution pour dissimuler l’attaque”, ont déclaré les chercheurs. “Étant donné que les notebooks Jupyter sont utilisés pour analyser les données et créer des modèles de données, cette attaque peut entraîner des dommages importants pour les organisations si ces environnements ne sont pas correctement sauvegardés.”

Voir également


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


Leave a Comment