Aqua Security đã tiết lộ về biến thể mới này đã dựa trên Python đầu tiên được thiết kế đặc biệt để nhắm mục tiêu vào các Jupyter Notebook. Mẫu mã độc tống tiền này bị phát hiện sau khi các chuyên giá phát hiện chúng nằm tại một trong số các máy chủ honeypot, chúng đã được thực thi sau khi tin tặc giành được quyền truy cập vào máy chủ và tải xuống các công cụ cần thiết để thực hiện quá trình mã hóa.

Hình 1. Giao diện  Jupyter Notebook

Theo Aqua Security mô tả: "Kẻ tấn công có được quyền truy cập thông qua việc môi trường được cấu hình sai, sau đó sẽ thực thi một mã độc tống tiền script để mã hóa các tệp ở đường dẫn nhất định trên máy chủ và có khả năng tự xóa sau khi thực thi để che giấu cuộc tấn công". Các cuộc tấn công được cho là trong giai đoạn thử nghiệm, chưa có bất cứ dấu hiệu nào được sử dụng cho mục đích tống tiền như truyền thống.

Jupyter Notebook được sử dụng để phân tích và xây dựng mô hình dữ liệu, nên cuộc tấn công kiểu này có thể dẫn đến thiệt hại đáng kể cho các tổ chức nếu các môi trường này không được sao lưu, cài đặt cũng như có biện pháp bảo mật đúng cách".

Cũng theo các nhà nghiên cứu: “Các chiến thuật và kỹ thuật sử dụng mã độc tống tiền tiếp tục phát triển vào đầu năm 2022, chứng tỏ sự phức tạp và nguy hiểm từ kỹ thuật tấn công này, làm gia tăng mối đe dọa đối với các tổ chức trên toàn cầu”. Theo một báo cáo mới nhất được công ty phần mềm an ninh mạng Syhunt (Brazil)  công bố, hơn 150 terabyte dữ liệu đã bị đánh cắp từ các cuộc tấn công bằng mã độc tống tiền từ tháng 01/2019 đến tháng 01/2022, riêng REvil chiếm 44,1TB trong tổng số thông tin bị đánh cắp được lấy từ 282 nạn nhân.

Hình 2. Quá trình mã độc tống tiền tấn công Jupyter Notebook