Lisenser for flere enheter (volumrabatter)
Threat Database Ransomware Cheerscrypt Ransomware

Cheerscrypt Ransomware

Med Mezo i Ransomware
Oversett til:
Norsk

En ny Linux-basert løsepenge-familie rettet mot VMware ESXi-servere har blitt avdekket av cybersikkerhetsforskere. Detaljer om denne spesifikke skadevare ble avslørt i en rapport fra Trend Micro, som sporer trusselen som Cheersrypt eller Cheers Ransomware. Det skal bemerkes at dette ikke er det første ondsinnede forsøket på å utnytte ESXi-servere. Tidligere har løsepengevarefamilier som LockBit , Hive og RansomEXX alle målrettet ESXi-systemer, med den hensikt å presse penger fra de berørte organisasjonene.

Bedrifter bruker mye ESXi for å lage og kjøre virtuelle maskiner (VM), mens de deler den samme lagringsplassen. Den brede bruken av organisasjoner av alle størrelser og geografiske steder har gjort ESXi-serverne til et lukrativt mål for nettkriminelle organisasjoner.

Tekniske detaljer

Før den kan distribueres fullt ut på den infiserte enheten, krever Cheerscrypt en spesifikk inngangsparameter som spesifiserer den nøyaktige banen for krypteringen. Etterpå vil trusselen implementere og utføre en kommando for å avslutte for øyeblikket kjørende VM-prosesser via ESXCLI. Det gjør det for å sikre vellykket kryptering av VMware-relaterte filer som ellers kan være utilgjengelige. Tross alt er trusselen spesifikt rettet mot filer med utvidelsene '.log', '.vmdk', '.vmem', '.vswp' og '.vmsn'.

For sin krypteringsrutine bruker Cheerscrypt en kombinasjon av SOSEMANUK-strømchifferet og ECDH. Filer er kryptert med SOSEMANUK, mens ECDH er ansvarlig for å generere nøkkelen. Hver låst fil vil ha '.Cheers' lagt til navnet som en ny utvidelse. Et særegent kjennetegn ved trusselen er at den endrer navnene på filene før de starter kryptering.

Løsepengene til Cheerscrypt avslører at nettkriminelle operatører kjører en dobbel utpressing. Bortsett fra å låse filene til ofrene deres, hevder hackerne også å ha samlet inn verdifull konfidensiell informasjon fra de krenkede systemene. Dersom deres krav ikke blir oppfylt innen 3 dager, advarer trusselaktørene om at de vil begynne å publisere den innhentede informasjonen til offentligheten.

Trender

Mest sett

Laster inn...