Cheerscrypt Ransomware
A VMware ESXi szervereket célzó új Linux-alapú ransomware családot fedeztek fel kiberbiztonsági kutatók. Az adott rosszindulatú program részleteit a Trend Micro jelentette, amely Cheersrypt vagy Cheers Ransomware néven követi nyomon a fenyegetést. Meg kell jegyezni, hogy nem ez az első rosszindulatú kísérlet az ESXi szerverek kihasználására. Korábban az olyan zsarolóprogram-családok, mint a LockBit , a Hive és a RansomEXX , mind az ESXi rendszereket célozták meg azzal a szándékkal, hogy pénzt zsaroljanak ki az érintett szervezetektől.
A vállalatok széles körben használják az ESXi-t virtuális gépek (VM) létrehozására és futtatására, miközben megosztják ugyanazt a meghajtót. A különféle méretű és földrajzi elhelyezkedésű szervezetek széles körben történő alkalmazása az ESXi szervereket a kiberbűnöző szervezetek jövedelmező célpontjává tette.
Műszaki információk
Mielőtt teljes mértékben üzembe helyezhető lenne a fertőzött eszközön, a Cheerscrypt egy adott bemeneti paramétert igényel, amely meghatározza a titkosítás pontos elérési útját. Ezt követően a fenyegetés végrehajt egy parancsot a jelenleg futó virtuálisgép-folyamatok ESXCLI-n keresztüli leállítására. Ennek célja a VMware-hez kapcsolódó fájlok sikeres titkosítása, amelyek egyébként elérhetetlenek lennének. Végül is a fenyegetés kifejezetten a „.log”, „.vmdk”, „.vmem”, „.vswp” és „.vmsn” kiterjesztésű fájlokat célozza meg.
Titkosítási rutinjához a Cheerscrypt a SOSEMANUK adatfolyam-rejtjel és az ECDH kombinációját használja. A fájlok titkosítása a SOSEMANUK-val történik, míg az ECDH felelős a kulcs létrehozásáért. Minden zárolt fájl új kiterjesztéseként a „.Cheers” nevéhez fűződik. A fenyegetés sajátos jellemzője, hogy a titkosítás megkezdése előtt módosítja a fájlok nevét.
A Cheerscrypt váltságdíjas leveléből kiderül, hogy kiberbűnözői kettős zsarolási rendszert futtatnak. Az áldozataik aktáinak zárolása mellett a hackerek azt is állítják, hogy értékes bizalmas információkat gyűjtöttek be a feltört rendszerekből. Ha követeléseiket 3 napon belül nem teljesítik, a fenyegetés szereplői figyelmeztetik, hogy megkezdik a megszerzett információk nyilvánosságra hozatalát.
