Cheerscrypt Ransomware

Küberturbeteadlased on avastanud uue Linuxi-põhise lunavaraperekonna, mis sihib VMware ESXi servereid. Üksikasjad selle konkreetse pahavara kohta avalikustati Trend Micro aruandes, jälgides ohtu Cheersrypt või Cheers Ransomware. Tuleb märkida, et see pole esimene pahatahtlik katse ESXi servereid ära kasutada. Varem olid lunavarapered, nagu LockBit , Hive ja RansomEXX , kõik ESXi süsteemide sihikule seadnud eesmärgiga mõjutatud organisatsioonidelt raha välja pressida.

Ettevõtted kasutavad ESXi laialdaselt virtuaalmasinate (VM) loomiseks ja käitamiseks, jagades samal ajal sama draivi salvestusruumi. Igas suuruses ja geograafilises asukohas organisatsioonide laialdane kasutuselevõtt on muutnud ESXi serverid küberkurjategijate organisatsioonide jaoks tulusaks sihtmärgiks.

Tehnilised detailid

Enne kui seda saab nakatunud seadmes täielikult juurutada, nõuab Cheerscrypt konkreetset sisendparameetrit, mis määrab krüptimise täpse tee. Seejärel rakendab ja täidab oht ESXCLI kaudu praegu töötavate VM-i protsesside lõpetamise käsu. Seda tehakse selleks, et tagada VMware-ga seotud failide edukas krüptimine, mis muidu ei pruugi olla juurdepääsetavad. Lõppude lõpuks sihib oht konkreetselt failidele laienditega .log, .vmdk, .vmem, .vswp ja .vmsn.

Cheerscrypt kasutab krüpteerimisrutiini jaoks SOSEMANUKi voošifri ja ECDH kombinatsiooni. Failid krüpteeritakse SOSEMANUKiga, samas kui ECDH vastutab võtme genereerimise eest. Iga lukustatud faili nimele lisatakse uue laiendina ".Cheers". Ohu eripäraks on see, et see muudab failide nimesid enne nende krüptimise alustamist.

Cheerscrypti lunarahakirjast selgub, et selle küberkurjategijad kasutavad topeltväljapressimise skeemi. Lisaks ohvrite failide lukustamisele väidavad häkkerid, et on kogunud rikutud süsteemidest väärtuslikku konfidentsiaalset teavet. Kui nende nõudmisi 3 päeva jooksul ei täideta, hoiatavad ohutegijad, et nad hakkavad omandatud teavet avalikkusele avaldama.