Cheerscrypt Ransomware

משפחת תוכנת כופר חדשה מבוססת לינוקס המכוונת לשרתי VMware ESXi נחשפה על ידי חוקרי אבטחת סייבר. פרטים על התוכנה הזדונית הספציפית הזו נחשפו בדוח של Trend Micro, העוקב אחר האיום בתור Cheersrypt, או Cheers Ransomware. יש לציין שזה לא הניסיון הרע הראשון לנצל שרתי ESXi. בעבר, משפחות תוכנות כופר כגון LockBit , Hive ו- RansomEXX כוונו כולן למערכות ESXi, מתוך כוונה לסחוט כסף מהארגונים המושפעים.

ארגונים משתמשים ב-ESXi באופן נרחב ליצירה והפעלה של מכונות וירטואליות (VM), תוך שיתוף של אותו אחסון כונן. האימוץ הרחב על ידי ארגונים מכל הגדלים והמיקומים הגיאוגרפיים הפך את שרתי ESXi למטרה משתלמת עבור ארגוני פושעי סייבר.

פרטים טכניים

לפני שניתן יהיה לפרוס אותו במלואו במכשיר הנגוע, Cheerscrypt דורש פרמטר קלט ספציפי המציין את הנתיב המדויק להצפנה. לאחר מכן, האיום יישם ויבצע פקודה להפסקת תהליכי VM הפועלים כעת באמצעות ESXCLI. הוא עושה זאת כדי להבטיח הצפנה מוצלחת של קבצים הקשורים ל-VMware שאחרת עלולים להיות בלתי נגישים. אחרי הכל, האיום מכוון ספציפית לקבצים עם הסיומות '.log', '.vmdk', '.vmem', '.vswp' ו-'.vmsn'.

לשגרת ההצפנה שלה, Cheerscrypt משתמש בשילוב של צופן הזרם SOSEMANUK ו-ECDH. קבצים מוצפנים עם SOSEMANUK, בעוד ECDH אחראית על יצירת המפתח. לכל קובץ נעול יצורף '.לחיים' לשמו בתור סיומת חדשה. מאפיין מיוחד של האיום הוא שהוא משנה את שמות הקבצים לפני תחילת ההצפנה שלהם.

פתק הכופר של Cheerscrypt חושף כי מפעילי פושעי הסייבר שלה מנהלים תוכנית סחיטה כפולה. מלבד נעילת הקבצים של קורבנותיהם, ההאקרים טוענים גם שאספו מידע סודי יקר ערך מהמערכות שנפרצו. אם דרישותיהם לא ייענו תוך 3 ימים, מתריעים שחקני האיום כי יתחילו לפרסם את המידע הנרכש לציבור.