باج افزار Cheerscrypt

یک خانواده جدید باج افزار مبتنی بر لینوکس که سرورهای VMware ESXi را هدف قرار می دهد توسط محققان امنیت سایبری کشف شده است. جزئیات مربوط به این بدافزار خاص در گزارشی توسط Trend Micro فاش شد که تهدید را به عنوان Cheersrypt یا Cheers Ransomware ردیابی می کند. لازم به ذکر است که این اولین تلاش بدبینانه برای سوء استفاده از سرورهای ESXi نیست. پیش از این، خانواده‌های باج‌افزاری مانند LockBit ، Hive و RansomEXX همگی سیستم‌های ESXi را با هدف اخاذی از سازمان‌های آسیب‌دیده هدف قرار داده‌اند.

شرکت‌ها به‌طور گسترده از ESXi برای ایجاد و اجرای ماشین‌های مجازی (VM) استفاده می‌کنند، در حالی که فضای ذخیره‌سازی یک درایو را به اشتراک می‌گذارند. پذیرش گسترده توسط سازمان‌ها در هر اندازه و موقعیت جغرافیایی، سرورهای ESXi را به یک هدف سودآور برای سازمان‌های مجرم سایبری تبدیل کرده است.

جزییات فنی

قبل از اینکه Cheerscrypt به طور کامل روی دستگاه آلوده مستقر شود، به یک پارامتر ورودی خاص نیاز دارد که مسیر دقیق رمزگذاری را مشخص می کند. پس از آن، تهدید دستوری را برای پایان دادن به فرآیندهای در حال اجرا VM از طریق ESXCLI اجرا و اجرا می کند. این کار را برای اطمینان از رمزگذاری موفقیت آمیز فایل های مرتبط با VMware انجام می دهد که در غیر این صورت ممکن است غیر قابل دسترس باشند. از این گذشته، این تهدید به طور خاص فایل هایی با پسوندهای ".log"، ".vmdk"، ".vmem"، ".vswp" و ".vmsn" را هدف قرار می دهد.

Cheerscrypt برای روال رمزگذاری خود از ترکیبی از رمز جریان SOSEMANUK و ECDH استفاده می کند. فایل ها با SOSEMANUK رمزگذاری می شوند، در حالی که ECDH مسئول تولید کلید است. هر فایل قفل شده دارای ". Cheers" به عنوان پسوند جدید به نام خود اضافه می شود. یک ویژگی عجیب تهدید این است که نام فایل ها را قبل از شروع رمزگذاری آنها تغییر می دهد.

یادداشت باج Cheerscrypt نشان می دهد که اپراتورهای مجرم سایبری آن در حال اجرای یک طرح اخاذی مضاعف هستند. هکرها علاوه بر قفل کردن پرونده های قربانیان خود، همچنین ادعا می کنند که اطلاعات محرمانه ارزشمندی را از سیستم های نقض شده جمع آوری کرده اند. اگر خواسته های آنها ظرف 3 روز برآورده نشود، عوامل تهدید هشدار می دهند که انتشار اطلاعات به دست آمده را برای عموم آغاز خواهند کرد.