Cheerscrypt Ransomware

اكتشف باحثو الأمن السيبراني عائلة جديدة من برامج الفدية تستند إلى نظام Linux وتستهدف خوادم VMware ESXi. تم الكشف عن تفاصيل حول هذا البرنامج الضار في تقرير أصدرته Trend Micro ، لتتبع التهديد مثل Cheersrypt ، أو Cheers Ransomware. وتجدر الإشارة إلى أن هذه ليست المحاولة الأولى السيئة لاستغلال خوادم ESXi. في السابق ، كانت عائلات برامج الفدية مثل LockBit و Hive و RansomEXX تستهدف جميع أنظمة ESXi بهدف ابتزاز الأموال من المنظمات المتضررة.

تستخدم الشركات ESXi على نطاق واسع لإنشاء أجهزة افتراضية (VM) وتشغيلها ، مع مشاركة نفس تخزين محرك الأقراص. أدى التبني الواسع النطاق من قبل المؤسسات من جميع الأحجام والمواقع الجغرافية إلى جعل خوادم ESXi هدفًا مربحًا لمنظمات الجريمة الإلكترونية.

تفاصيل تقنية

قبل أن يتم نشره بالكامل على الجهاز المصاب ، يتطلب Cheerscrypt معلمة إدخال محددة تحدد المسار الدقيق للتشفير. بعد ذلك ، سيقوم التهديد بتنفيذ وتنفيذ أمر لإنهاء عمليات VM قيد التشغيل حاليًا عبر ESXCLI. يقوم بذلك لضمان التشفير الناجح للملفات المتعلقة ببرنامج VMware والتي قد يتعذر الوصول إليها بطريقة أخرى. بعد كل شيء ، يستهدف التهديد على وجه التحديد الملفات ذات الامتدادات ".log" و ".vmdk" و ".vmem" و ".vswp" و ".vmsn".

بالنسبة لروتين التشفير الخاص به ، يستخدم Cheerscrypt مجموعة من تشفير دفق SOSEMANUK و ECDH. يتم تشفير الملفات باستخدام SOSEMANUK ، بينما يكون ECDH مسؤولاً عن إنشاء المفتاح. سيكون لكل ملف مقفل ملحق ".Cheers" باسمه كملحق جديد. من السمات المميزة للتهديد أنه يعدل أسماء الملفات قبل البدء في تشفيرها.

تكشف مذكرة الفدية الخاصة بـ Cheerscrypt أن مشغلي المجرمين الإلكترونيين يديرون مخطط ابتزاز مزدوج. بصرف النظر عن قفل ملفات ضحاياهم ، يزعم المتسللون أيضًا أنهم جمعوا معلومات سرية قيمة من الأنظمة المخترقة. إذا لم يتم تلبية مطالبهم في غضون 3 أيام ، يحذر ممثلو التهديد من أنهم سيبدأون في نشر المعلومات التي حصلوا عليها للجمهور.