JupyterNotebook是一个用于数据可视化的开源Web环境。模块化软件用于数据科学、计算和机器学习中的数据建模。该项目支持40多种编程语言,并被Microsoft、IBM和Google等公司以及众多大学使用。
AquaSecurity的TeamNautilus最近发现了一种恶意软件,该恶意软件利用了这种流行的数据工具。
虽然JupyterNotebook允许用户与受信任的联系人共享他们的内容,但对应用程序的访问是通过帐户凭据或令牌来保护的。然而,同样地,企业有时不保护他们的AWS存储桶,让他们开放给任何人查看,也发现了笔记本错误配置。
Python勒索软件针对的是那些不小心让其环境易受攻击的人。
研究人员设置了一个蜜罐,其中包含一个暴露的Jupyternotebook应用程序来观察恶意软件的行为。勒索软件操作员访问服务器,打开终端,下载一组恶意工具——包括加密器——然后手动生成执行勒索软件的Python脚本。
虽然攻击没有完成就停止了,但Nautilus团队能够获取足够的数据来模拟实验室环境中的其余攻击。加密器会复制然后加密文件,删除任何未加密的内容,然后删除自身。
应该注意的是,软件包中没有包含赎金票据,该团队怀疑这表明以下两种情况之一:攻击者正在试验他们在蜜罐上的创建,或者蜜罐在勒索软件攻击完成之前超时。
虽然归因并不具体,但网络安全研究人员表示,由于他们在攻击开始前进行了商标检查,他们可能“熟悉”这个不法分子。
线索表明此人可能来自俄罗斯,如果是同一个攻击者,则他们与过去对Jupyter环境的加密劫持攻击有关。
Shodan搜索显示数百个面向互联网的JupyterNotebook环境是开放和可访问的(尽管有些也可能是蜜罐。)
“攻击者通过错误配置的环境获得初始访问权限,然后运行一个勒索软件脚本,该脚本加密服务器上给定路径上的每个文件,并在执行后删除自身以隐藏攻击,”研究人员说。“由于Jupyter笔记本用于分析数据和构建数据模型,如果这些环境没有得到适当的备份,这种攻击可能会对组织造成重大损害。”