Cheerscrypt 랜섬웨어

VMware ESXi 서버를 대상으로 하는 새로운 Linux 기반 랜섬웨어 제품군이 사이버 보안 연구원에 의해 밝혀졌습니다. 이 특정 맬웨어에 대한 세부 정보는 위협을 Cheersrypt 또는 Cheers Ransomware로 추적하는 Trend Micro의 보고서에서 공개되었습니다. 이것이 ESXi 서버를 악용하려는 첫 번째 악의적인 시도가 아니라는 점에 유의해야 합니다. 이전에는 LockBit , Hive 및 RansomEXX 와 같은 랜섬웨어 제품군이 영향을 받는 조직에서 돈을 갈취할 목적으로 ESXi 시스템을 모두 표적으로 삼았습니다.

기업은 동일한 드라이브 스토리지를 공유하면서 가상 머신(VM)을 생성 및 실행하기 위해 ESXi를 널리 사용합니다. 규모와 지리적 위치에 관계없이 조직이 광범위하게 채택하면서 ESXi 서버는 사이버 범죄 조직의 수익성 있는 표적이 되었습니다.

기술적 세부 사항

감염된 장치에 완전히 배포되기 전에 Cheerscrypt는 정확한 암호화 경로를 지정하는 특정 입력 매개변수가 필요합니다. 이후 위협은 ESXCLI를 통해 현재 실행 중인 VM 프로세스를 종료하는 명령을 구현 및 실행합니다. 그렇지 않으면 액세스할 수 없는 VMware 관련 파일의 성공적인 암호화를 보장하기 위해 그렇게 합니다. 결국 위협 요소는 '.log', '.vmdk', '.vmem', '.vswp' 및 '.vmsn' 확장자를 가진 파일을 구체적으로 대상으로 합니다.

암호화 루틴을 위해 Cheerscrypt는 SOSEMANUK 스트림 암호와 ECDH의 조합을 사용합니다. 파일은 SOSEMANUK로 암호화되고 ECDH는 키 생성을 담당합니다. 잠긴 각 파일에는 새 확장자로 이름에 '.Cheers'가 추가됩니다. 위협의 독특한 특징은 암호화를 시작하기 전에 파일 이름을 수정한다는 것입니다.

Cheerscrypt의 랜섬 노트는 사이버 범죄 운영자가 이중 갈취 계획을 실행하고 있음을 보여줍니다. 해커는 피해자의 파일을 잠그는 것 외에도 침해된 시스템에서 중요한 기밀 정보를 수집했다고 주장합니다. 요구 사항이 3일 이내에 충족되지 않으면 위협 행위자는 획득한 정보를 대중에게 공개하기 시작할 것이라고 경고합니다.