Новое вымогательское ПО, написанное на языке программирования Python, атакует среды, где используется Jupyter Notebook.
Jupyter Notebook представляет собой web-среду с открытым исходным кодом для виртуализации данных. Модульное ПО используется для моделирования данных в науке, компьютерных вычислениях и машинном обучении. Проект поддерживает более сорока языков программирования и используется такими компаниями, как Microsoft, IBM, Google и пр.
Команда исследователей Nautilus компании Aqua Security недавно обнаружила вредоносное ПО, использующее Jupyter Notebook для своих неприглядных целей.
Хотя Jupyter Notebook позволяет пользователям обмениваться контентом с доверенными контактами, доступ к приложению должен быть защищен с помощью учетных данных или токенов. Однако точно так же, как компании зачастую не обеспечивают должную безопасность своих бакетов AWS, они оставляют незащищенными и свои установки Jupyter Notebook. На такие установки и нацелилась новая вымогательская программа.
Операторы вымогателя получают доступ к серверу жертвы, открывают терминал, загружают набор вредоносных инструментов, в том числе шифровальщик, а затем вручную генерируют Python-скрипт, который выполняет вымогательское ПО. Шифровальщик копирует и шифрует файлы, удаляет весь незашифрованный контент, после чего удаляется сам. Поскольку Jupyter Notebook используется для анализа данных и построения моделей данных, атака может причинить большой ущерб организации, если не были сделаны резервные копии.
Хотя исследователям не удалось отнести вымогательское ПО на счет конкретной киберпреступной группировки, стоящие за ним хакеры им уже известны.
С помощью Shodan в настоящее время обнаруживается несколько сотен подключенных к интернету открытых и доступных сред Jupyter Notebook.
