Llicències per a diversos dispositius (descomptes per volum)
Threat Database Ransomware Cheerscrypt Ransomware

Cheerscrypt Ransomware

El Mezo el Ransomware
Traduir a:
Català

Investigadors de ciberseguretat han descobert una nova família de ransomware basada en Linux dirigida als servidors VMware ESXi. Els detalls sobre aquest programari maliciós en particular es van revelar en un informe de Trend Micro, fent un seguiment de l'amenaça com Cheersrypt o Cheers Ransomware. Cal tenir en compte que aquest no és el primer intent dolent d'explotar els servidors ESXi. Anteriorment, famílies de ransomware com LockBit , Hive i RansomEXX s'havien dirigit a sistemes ESXi, amb la intenció d'extorsionar diners a les organitzacions afectades.

Les empreses utilitzen àmpliament ESXi per crear i executar màquines virtuals (VM), mentre comparteixen el mateix emmagatzematge de la unitat. L'àmplia adopció per part d'organitzacions de totes les mides i ubicacions geogràfiques ha convertit els servidors ESXi en un objectiu lucratiu per a les organitzacions cibercriminals.

Detalls tècnics

Abans que es pugui desplegar completament al dispositiu infectat, Cheerscrypt requereix un paràmetre d'entrada específic que especifiqui el camí exacte per al xifratge. Després, l'amenaça implementarà i executarà una ordre per finalitzar els processos de VM que s'executen actualment mitjançant ESXCLI. Ho fa per garantir l'èxit del xifratge dels fitxers relacionats amb VMware que d'altra manera podrien ser inaccessibles. Després de tot, l'amenaça s'adreça específicament als fitxers amb les extensions '.log', '.vmdk', '.vmem', '.vswp' i '.vmsn'.

Per a la seva rutina de xifratge, Cheerscrypt utilitza una combinació del xifrat de flux SOSEMANUK i ECDH. Els fitxers es xifren amb SOSEMANUK, mentre que l'ECDH s'encarrega de generar la clau. Cada fitxer bloquejat tindrà ".Cheers" afegit al seu nom com una nova extensió. Una característica peculiar de l'amenaça és que modifica els noms dels fitxers abans de començar el seu xifratge.

La nota de rescat de Cheerscrypt revela que els seus operadors cibercriminals estan executant un esquema de doble extorsió. A part de bloquejar els fitxers de les seves víctimes, els pirates informàtics també afirmen haver recopilat informació confidencial valuosa dels sistemes violats. Si les seves demandes no es compleixen en un termini de 3 dies, els actors de l'amenaça adverteixen que començaran a publicar la informació adquirida al públic.

Tendència

Més vist

Carregant...