Cheerscrypt Ransomware

Keluarga perisian tebusan berasaskan Linux baharu yang menyasarkan pelayan VMware ESXi telah ditemui oleh penyelidik keselamatan siber. Butiran tentang perisian hasad khusus ini telah didedahkan dalam laporan oleh Trend Micro, menjejaki ancaman sebagai Cheersrypt, atau Cheers Ransomware. Perlu diingatkan bahawa ini bukanlah percubaan pertama yang tidak berakal untuk mengeksploitasi pelayan ESXi. Sebelum ini, keluarga perisian tebusan seperti LockBit , Hive dan RansomEXX semuanya menyasarkan sistem ESXi, dengan tujuan memeras wang daripada organisasi yang terjejas.

Perusahaan menggunakan ESXi secara meluas untuk mencipta dan menjalankan mesin maya (VM), sambil berkongsi storan pemacu yang sama. Penggunaan meluas oleh organisasi dari semua saiz dan lokasi geografi telah menjadikan pelayan ESXi sebagai sasaran yang lumayan untuk organisasi penjenayah siber.

Butiran Teknikal

Sebelum ia boleh digunakan sepenuhnya pada peranti yang dijangkiti, Cheerscrypt memerlukan parameter input khusus yang menentukan laluan tepat untuk penyulitan. Selepas itu, ancaman akan melaksanakan dan melaksanakan perintah untuk menamatkan proses VM yang sedang berjalan melalui ESXCLI. Ia berbuat demikian untuk memastikan penyulitan berjaya fail berkaitan VMware yang mungkin tidak boleh diakses. Lagipun, ancaman secara khusus menyasarkan fail dengan sambungan '.log,' '.vmdk,' '.vmem,' '.vswp' dan '.vmsn'.

Untuk rutin penyulitannya, Cheerscrypt menggunakan gabungan sifir aliran SOSEMANUK dan ECDH. Fail disulitkan dengan SOSEMANUK, manakala ECDH bertanggungjawab untuk menjana kunci. Setiap fail yang dikunci akan mempunyai '.Cheers' yang dilampirkan pada namanya sebagai sambungan baharu. Ciri khas ancaman ialah ia mengubah suai nama fail sebelum memulakan penyulitannya.

Nota tebusan Cheerscrypt mendedahkan bahawa pengendali penjenayah sibernya menjalankan skim pemerasan berganda. Selain mengunci fail mangsa mereka, penggodam juga mendakwa telah mengumpul maklumat sulit yang berharga daripada sistem yang dilanggar. Jika tuntutan mereka tidak dipenuhi dalam masa 3 hari, pelakon ancaman memberi amaran bahawa mereka akan mula menerbitkan maklumat yang diperoleh kepada orang ramai.