Cheerscrypt Ransomware
គ្រួសារ ransomware ដែលមានមូលដ្ឋានលើលីនុចថ្មីដែលផ្តោតលើម៉ាស៊ីនមេ VMware ESXi ត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត។ ព័ត៌មានលម្អិតអំពីមេរោគពិសេសនេះត្រូវបានបង្ហាញនៅក្នុងរបាយការណ៍មួយដោយ Trend Micro តាមដានការគំរាមកំហែងដូចជា Cheersrypt ឬ Cheers Ransomware ។ វាគួរតែត្រូវបានកត់សម្គាល់ថានេះមិនមែនជាការប៉ុនប៉ងខុសលើកដំបូងដើម្បីកេងប្រវ័ញ្ចម៉ាស៊ីនមេ ESXi នោះទេ។ ពីមុន គ្រួសារ ransomware ដូចជា LockBit , Hive , និង RansomEXX សុទ្ធតែមានគោលដៅលើប្រព័ន្ធ ESXi ដោយមានចេតនាជំរិតប្រាក់ពីអង្គការដែលរងផលប៉ះពាល់។
សហគ្រាសប្រើប្រាស់យ៉ាងទូលំទូលាយ ESXi សម្រាប់ការបង្កើត និងដំណើរការម៉ាស៊ីននិម្មិត (VM) ខណៈពេលដែលចែករំលែកកន្លែងផ្ទុកទិន្នន័យដូចគ្នា។ ការទទួលយកយ៉ាងទូលំទូលាយដោយអង្គការគ្រប់ទំហំ និងទីតាំងភូមិសាស្រ្តបានធ្វើឱ្យម៉ាស៊ីនមេ ESXi ក្លាយជាគោលដៅរកប្រាក់ចំណេញសម្រាប់អង្គការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។
ព័ត៌មានលម្អិតបច្ចេកទេស
មុនពេលវាអាចត្រូវបានដាក់ឱ្យប្រើប្រាស់ពេញលេញនៅលើឧបករណ៍ដែលមានមេរោគ Cheerscrypt ទាមទារប៉ារ៉ាម៉ែត្របញ្ចូលជាក់លាក់ដែលបញ្ជាក់ផ្លូវពិតប្រាកដសម្រាប់ការអ៊ិនគ្រីប។ ក្រោយមក ការគំរាមកំហែងនឹងអនុវត្ត និងប្រតិបត្តិពាក្យបញ្ជាដើម្បីបញ្ចប់ដំណើរការ VM ដែលកំពុងដំណើរការតាមរយៈ ESXCLI ។ វាធ្វើដូច្នេះដើម្បីធានាបាននូវការអ៊ិនគ្រីបដោយជោគជ័យនៃឯកសារដែលទាក់ទងនឹង VMware ដែលប្រហែលជាមិនអាចចូលប្រើបាន។ យ៉ាងណាមិញ ការគំរាមកំហែងនេះផ្តោតជាពិសេសទៅលើឯកសារដែលមានផ្នែកបន្ថែម '.log,' '.vmdk,' '.vmem,' '.vswp' និង '.vmsn'។
សម្រាប់ទម្លាប់នៃការអ៊ិនគ្រីបរបស់វា Cheerscrypt ប្រើប្រាស់ការរួមបញ្ចូលគ្នានៃ SOSEMANUK stream cipher និង ECDH ។ ឯកសារត្រូវបានអ៊ិនគ្រីបជាមួយ SOSEMANUK ខណៈពេលដែល ECDH ទទួលខុសត្រូវក្នុងការបង្កើតសោ។ ឯកសារចាក់សោនីមួយៗនឹងមាន '.Cheers' បន្ថែមលើឈ្មោះរបស់វាជាផ្នែកបន្ថែមថ្មី។ លក្ខណៈពិសេសនៃការគំរាមកំហែងគឺថាវាកែប្រែឈ្មោះឯកសារមុនពេលចាប់ផ្ដើមការអ៊ិនគ្រីបរបស់ពួកគេ។
កំណត់ចំណាំតម្លៃលោះរបស់ Cheerscrypt បង្ហាញថាប្រតិបត្តិករឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតរបស់ខ្លួនកំពុងដំណើរការគម្រោងជំរិតទារពីរដង។ ក្រៅពីការចាក់សោឯកសាររបស់ជនរងគ្រោះ ពួក Hacker ក៏អះអាងថាបានប្រមូលព័ត៌មានសម្ងាត់ដ៏មានតម្លៃពីប្រព័ន្ធដែលបំពាន។ ប្រសិនបើការទាមទាររបស់ពួកគេមិនត្រូវបានបំពេញក្នុងរយៈពេល 3 ថ្ងៃ អ្នកគំរាមកំហែងព្រមានថាពួកគេនឹងចាប់ផ្តើមផ្សព្វផ្សាយព័ត៌មានដែលទទួលបានជាសាធារណៈ។