Cheerscrypt ransomware

Una nuova famiglia di ransomware basata su Linux destinata ai server VMware ESXi è stata scoperta dai ricercatori della sicurezza informatica. I dettagli su questo particolare malware sono stati rivelati in un rapporto di Trend Micro, tracciando la minaccia come Cheersrypt o Cheers Ransomware. Va notato che questo non è il primo tentativo malvagio di sfruttare i server ESXi. In precedenza, famiglie di ransomware come LockBit , Hive e RansomEXX hanno preso di mira tutti i sistemi ESXi, con l'intento di estorcere denaro alle organizzazioni interessate.

Le aziende utilizzano ampiamente ESXi per la creazione e l'esecuzione di macchine virtuali (VM), condividendo lo stesso spazio di archiviazione dell'unità. L'ampia adozione da parte di organizzazioni di tutte le dimensioni e località geografiche ha reso i server ESXi un obiettivo redditizio per le organizzazioni criminali informatiche.

Dettagli tecnici

Prima che possa essere distribuito completamente sul dispositivo infetto, Cheerscrypt richiede un parametro di input specifico che specifichi il percorso esatto per la crittografia. Successivamente, la minaccia implementerà ed eseguirà un comando per terminare i processi VM attualmente in esecuzione tramite ESXCLI. Lo fa per garantire la corretta crittografia dei file relativi a VMware che altrimenti potrebbero essere inaccessibili. Dopotutto, la minaccia prende di mira specificamente i file con le estensioni '.log', '.vmdk', '.vmem', '.vswp' e '.vmsn'.

Per la sua routine di crittografia, Cheerscrypt utilizza una combinazione del codice di flusso SOSEMANUK ed ECDH. I file vengono crittografati con SOSEMANUK, mentre ECDH è responsabile della generazione della chiave. Ogni file bloccato avrà '.Cheers' aggiunto al suo nome come nuova estensione. Una caratteristica peculiare della minaccia è che modifica i nomi dei file prima di avviarne la crittografia.

La richiesta di riscatto di Cheerscrypt rivela che i suoi operatori criminali informatici stanno eseguendo uno schema di doppia estorsione. Oltre a bloccare i file delle loro vittime, gli hacker affermano anche di aver raccolto preziose informazioni riservate dai sistemi violati. Se le loro richieste non vengono soddisfatte entro 3 giorni, gli attori della minaccia avvertono che inizieranno a pubblicare le informazioni acquisite al pubblico.