Cheerscrypt Ransomware
Kyberturvallisuustutkijat ovat löytäneet uuden Linux-pohjaisen kiristysohjelmaperheen, joka kohdistuu VMware ESXi -palvelimiin. Yksityiskohdat tästä tietystä haittaohjelmasta paljastettiin Trend Micron raportissa, joka jäljitti uhkaa nimellä Cheersrypt tai Cheers Ransomware. On huomattava, että tämä ei ole ensimmäinen huonomielinen yritys hyödyntää ESXi-palvelimia. Aiemmin kiristysohjelmaperheet, kuten LockBit , Hive ja RansomEXX , ovat kaikki kohdistaneet ESXi-järjestelmiin tarkoituksenaan kiristää rahaa asianomaisilta organisaatioilta.
Yritykset käyttävät laajalti ESXiä virtuaalikoneiden (VM) luomiseen ja käyttämiseen samalla, kun ne jakavat saman aseman tallennustilan. Kaiken kokoisten ja maantieteellisten laitosten laaja käyttö on tehnyt ESXi-palvelimista tuottoisen kohteen kyberrikollisille organisaatioille.
Tekniset yksityiskohdat
Ennen kuin Cheerscrypt voidaan ottaa täysin käyttöön tartunnan saaneessa laitteessa, se vaatii tietyn syöttöparametrin, joka määrittää salauksen tarkan polun. Myöhemmin uhka toteuttaa ja suorittaa komennon lopettaakseen käynnissä olevat VM-prosessit ESXCLI:n kautta. Se varmistaa VMware-ohjelmistoon liittyvien tiedostojen onnistuneen salauksen, joihin ei muuten olisi pääsyä. Loppujen lopuksi uhka kohdistuu nimenomaan tiedostoihin, joiden laajennus on .log, .vmdk, .vmem, .vswp ja .vmsn.
Cheerscrypt käyttää salausrutiinissaan SOSEMANUK-virtasalauksen ja ECDH:n yhdistelmää. Tiedostot salataan SOSEMANUKilla, kun taas ECDH vastaa avaimen luomisesta. Jokaisen lukitun tiedoston nimeen on lisätty ".Cheers" uutena tunnisteena. Uhalle on ominaista, että se muuttaa tiedostojen nimiä ennen niiden salauksen aloittamista.
Cheerscryptin lunnaat paljastavat, että sen verkkorikollisoperaattorit harjoittavat kaksinkertaista kiristysjärjestelmää. Uhrien tiedostojen lukitsemisen lisäksi hakkerit väittävät myös keränneensä arvokasta luottamuksellista tietoa murretuista järjestelmistä. Jos heidän vaatimuksiaan ei täyty 3 päivän kuluessa, uhkatoimijat varoittavat, että he alkavat julkaista hankittuja tietoja yleisölle.
