Cheerscrypt Ransomware

En ny Linux-baseret ransomware-familie rettet mod VMware ESXi-servere er blevet afsløret af cybersikkerhedsforskere. Detaljer om denne særlige malware blev afsløret i en rapport fra Trend Micro, der sporer truslen som Cheersrypt eller Cheers Ransomware. Det skal bemærkes, at dette ikke er det første dårligt sindede forsøg på at udnytte ESXi-servere. Tidligere har ransomware-familier som LockBit , Hive og RansomEXX alle målrettet ESXi-systemer med den hensigt at afpresse penge fra de berørte organisationer.

Virksomheder bruger i vid udstrækning ESXi til at skabe og køre virtuelle maskiner (VM), mens de deler det samme drevlager. Den brede anvendelse af organisationer af alle størrelser og geografiske placeringer har gjort ESXi-serverne til et lukrativt mål for cyberkriminelle organisationer.

Tekniske detaljer

Før det kan implementeres fuldt ud på den inficerede enhed, kræver Cheerscrypt en specifik inputparameter, der specificerer den nøjagtige sti til krypteringen. Bagefter vil truslen implementere og udføre en kommando for at afslutte aktuelt kørende VM-processer via ESXCLI. Det gør det for at sikre en vellykket kryptering af VMware-relaterede filer, der ellers kunne være utilgængelige. Når alt kommer til alt, er truslen specifikt rettet mod filer med filtypenavnene '.log', '.vmdk', '.vmem', '.vswp' og '.vmsn'.

Til sin krypteringsrutine bruger Cheerscrypt en kombination af SOSEMANUK-strømchifferet og ECDH. Filer krypteres med SOSEMANUK, mens ECDH er ansvarlig for at generere nøglen. Hver låst fil vil have '.Cheers' tilføjet til sit navn som en ny udvidelse. Et ejendommeligt kendetegn ved truslen er, at den ændrer navnene på filerne, før de starter deres kryptering.

Cheerscrypts løsesumseddel afslører, at dets cyberkriminelle operatører kører en dobbeltafpresningsordning. Udover at låse deres ofres filer, hævder hackerne også at have indsamlet værdifuld fortrolig information fra de brudte systemer. Hvis deres krav ikke imødekommes inden for 3 dage, advarer trusselsaktørerne om, at de vil begynde at offentliggøre den erhvervede information til offentligheden.