Cheerscrypt Ransomware

Kiberdrošības pētnieki ir atklājuši jaunu uz Linux balstītu ransomware saimi, kuras mērķauditorija ir VMware ESXi serveri. Sīkāka informācija par šo konkrēto ļaunprātīgo programmatūru tika atklāta Trend Micro ziņojumā, izsekojot draudiem kā Cheersrypt vai Cheers Ransomware. Jāpiebilst, ka šis nav pirmais neprātīgais mēģinājums izmantot ESXi serverus. Iepriekš visas izspiedējvīrusu ģimenes, piemēram, LockBit , Hive un RansomEXX , bija vērstas pret ESXi sistēmām, lai izspiestu naudu no ietekmētajām organizācijām.

Uzņēmumi plaši izmanto ESXi, lai izveidotu un darbinātu virtuālās mašīnas (VM), vienlaikus koplietojot vienu un to pašu diska krātuvi. Plašā ieviešana visu izmēru un ģeogrāfisko atrašanās vietu organizācijās ir padarījusi ESXi serverus par ienesīgu mērķi kibernoziedzīgām organizācijām.

Tehniskas detaļas

Pirms Cheerscrypt to var pilnībā izvietot inficētajā ierīcē, tam ir nepieciešams īpašs ievades parametrs, kas norāda precīzu šifrēšanas ceļu. Pēc tam draudi ieviesīs un izpildīs komandu, lai pārtrauktu pašlaik darbojošos VM procesus, izmantojot ESXCLI. Tas tiek darīts, lai nodrošinātu ar VMware saistīto failu veiksmīgu šifrēšanu, kas citādi varētu būt nepieejami. Galu galā draudi ir īpaši vērsti uz failiem ar paplašinājumiem .log, .vmdk, .vmem, .vswp un .vmsn.

Savai šifrēšanas rutīnai Cheerscrypt izmanto SOSEMANUK straumes šifra un ECDH kombināciju. Faili tiek šifrēti ar SOSEMANUK, savukārt ECDH ir atbildīgs par atslēgas ģenerēšanu. Katra bloķētā faila nosaukumam kā jauns paplašinājums būs pievienots “.Cheers”. Īpaša apdraudējuma īpašība ir tā, ka tie maina failu nosaukumus pirms to šifrēšanas.

Cheerscrypt izpirkuma piezīme atklāj, ka tās kibernoziedznieki izmanto dubultas izspiešanas shēmu. Hakeri ne tikai bloķē savu upuru failus, bet arī apgalvo, ka ir savākuši vērtīgu konfidenciālu informāciju no uzlauztajām sistēmām. Ja viņu prasības netiks izpildītas 3 dienu laikā, draudu dalībnieki brīdina, ka sāks publiskot iegūto informāciju.