Cheerscrypt Ransomware

Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou rodinu ransomwaru na bázi Linuxu, která se zaměřuje na servery VMware ESXi. Podrobnosti o tomto konkrétním malwaru byly odhaleny ve zprávě Trend Micro, která sleduje hrozbu jako Cheersrypt nebo Cheers Ransomware. Je třeba poznamenat, že toto není první pokus o zneužití serverů ESXi. Dříve se všechny rodiny ransomwaru jako LockBit , Hive a RansomEXX zaměřovaly na systémy ESXi s úmyslem vymámit peníze z postižených organizací.

Podniky široce využívají ESXi k vytváření a spouštění virtuálních strojů (VM), přičemž sdílejí stejné úložiště disku. Široké přijetí organizacemi všech velikostí a geografických lokalit udělalo ze serverů ESXi lukrativní cíl pro kyberzločinecké organizace.

Technické údaje

Než může být Cheerscrypt plně nasazen na infikovaném zařízení, vyžaduje specifický vstupní parametr, který specifikuje přesnou cestu pro šifrování. Poté hrozba implementuje a provede příkaz k ukončení aktuálně běžících procesů VM prostřednictvím ESXCLI. Činí tak, aby bylo zajištěno úspěšné šifrování souborů souvisejících s VMware, které by jinak mohly být nepřístupné. Koneckonců, hrozba se konkrétně zaměřuje na soubory s příponami '.log', '.vmdk, '.vmem', '.vswp' a '.vmsn'.

Cheerscrypt využívá pro svou šifrovací rutinu kombinaci streamové šifry SOSEMANUK a ECDH. Soubory jsou šifrovány pomocí SOSEMANUK, zatímco ECDH je zodpovědný za generování klíče. Každý zamčený soubor bude mít ke svému názvu připojeno '.Cheers' jako novou příponu. Zvláštní charakteristikou hrozby je, že upravuje názvy souborů před zahájením jejich šifrování.

Výkupné Cheerscrypt odhaluje, že jeho provozovatelé kyberzločinců provozují schéma dvojitého vydírání. Kromě zamykání souborů svých obětí hackeři také tvrdí, že shromáždili cenné důvěrné informace z narušených systémů. Pokud jejich požadavky nebudou splněny do 3 dnů, aktéři hrozby upozorňují, že získané informace začnou zveřejňovat.