باج افزار Cheerscrypt
یک خانواده جدید باج افزار مبتنی بر لینوکس که سرورهای VMware ESXi را هدف قرار می دهد توسط محققان امنیت سایبری کشف شده است. جزئیات مربوط به این بدافزار خاص در گزارشی توسط Trend Micro فاش شد که تهدید را به عنوان Cheersrypt یا Cheers Ransomware ردیابی می کند. لازم به ذکر است که این اولین تلاش بدبینانه برای سوء استفاده از سرورهای ESXi نیست. پیش از این، خانوادههای باجافزاری مانند LockBit ، Hive و RansomEXX همگی سیستمهای ESXi را با هدف اخاذی از سازمانهای آسیبدیده هدف قرار دادهاند.
شرکتها بهطور گسترده از ESXi برای ایجاد و اجرای ماشینهای مجازی (VM) استفاده میکنند، در حالی که فضای ذخیرهسازی یک درایو را به اشتراک میگذارند. پذیرش گسترده توسط سازمانها در هر اندازه و موقعیت جغرافیایی، سرورهای ESXi را به یک هدف سودآور برای سازمانهای مجرم سایبری تبدیل کرده است.
جزییات فنی
قبل از اینکه Cheerscrypt به طور کامل روی دستگاه آلوده مستقر شود، به یک پارامتر ورودی خاص نیاز دارد که مسیر دقیق رمزگذاری را مشخص می کند. پس از آن، تهدید دستوری را برای پایان دادن به فرآیندهای در حال اجرا VM از طریق ESXCLI اجرا و اجرا می کند. این کار را برای اطمینان از رمزگذاری موفقیت آمیز فایل های مرتبط با VMware انجام می دهد که در غیر این صورت ممکن است غیر قابل دسترس باشند. از این گذشته، این تهدید به طور خاص فایل هایی با پسوندهای ".log"، ".vmdk"، ".vmem"، ".vswp" و ".vmsn" را هدف قرار می دهد.
Cheerscrypt برای روال رمزگذاری خود از ترکیبی از رمز جریان SOSEMANUK و ECDH استفاده می کند. فایل ها با SOSEMANUK رمزگذاری می شوند، در حالی که ECDH مسئول تولید کلید است. هر فایل قفل شده دارای ". Cheers" به عنوان پسوند جدید به نام خود اضافه می شود. یک ویژگی عجیب تهدید این است که نام فایل ها را قبل از شروع رمزگذاری آنها تغییر می دهد.
یادداشت باج Cheerscrypt نشان می دهد که اپراتورهای مجرم سایبری آن در حال اجرای یک طرح اخاذی مضاعف هستند. هکرها علاوه بر قفل کردن پرونده های قربانیان خود، همچنین ادعا می کنند که اطلاعات محرمانه ارزشمندی را از سیستم های نقض شده جمع آوری کرده اند. اگر خواسته های آنها ظرف 3 روز برآورده نشود، عوامل تهدید هشدار می دهند که انتشار اطلاعات به دست آمده را برای عموم آغاز خواهند کرد.