Cheerscrypt Ransomware
Cybersecurity-onderzoekers hebben een nieuwe op Linux gebaseerde ransomware-familie ontdekt die zich richt op VMware ESXi-servers. Details over deze specifieke malware werden onthuld in een rapport van Trend Micro, waarin de dreiging werd gevolgd als Cheersrypt of de Cheers Ransomware. Opgemerkt moet worden dat dit niet de eerste kwade poging is om ESXi-servers te misbruiken. Eerder waren ransomware-families zoals LockBit , Hive en RansomEXX allemaal gericht op ESXi-systemen, met de bedoeling geld af te persen van de getroffen organisaties.
Bedrijven gebruiken ESXi op grote schaal voor het maken en uitvoeren van virtuele machines (VM), terwijl ze dezelfde schijfopslag delen. De brede acceptatie door organisaties van elke omvang en geografische locatie heeft de ESXi-servers tot een lucratief doelwit gemaakt voor cybercriminele organisaties.
Technische details
Voordat het volledig kan worden ingezet op het geïnfecteerde apparaat, vereist Cheerscrypt een specifieke invoerparameter die het exacte pad voor de codering specificeert. Daarna zal de dreiging een opdracht implementeren en uitvoeren om de momenteel lopende VM-processen via ESXCLI te beëindigen. Het doet dit om de succesvolle codering van VMware-gerelateerde bestanden te garanderen die anders ontoegankelijk zouden zijn. De dreiging richt zich immers specifiek op bestanden met de extensies '.log', '.vmdk', '.vmem', '.vswp' en '.vmsn'.
Voor zijn versleutelingsroutine gebruikt Cheerscrypt een combinatie van het SOSEMANUK-stroomcijfer en ECDH. Bestanden worden versleuteld met SOSEMANUK, terwijl ECDH verantwoordelijk is voor het genereren van de sleutel. Aan elk vergrendeld bestand wordt '.Proost' toegevoegd als een nieuwe extensie. Een bijzonder kenmerk van de dreiging is dat het de namen van de bestanden aanpast voordat ze worden versleuteld.
Het losgeldbriefje van Cheerscrypt onthult dat zijn cybercriminelen een dubbele afpersingsregeling hebben. Afgezien van het vergrendelen van de bestanden van hun slachtoffers, beweren de hackers ook waardevolle vertrouwelijke informatie te hebben verzameld van de gehackte systemen. Als hun eisen niet binnen 3 dagen worden ingewilligd, waarschuwen de dreigingsactoren dat ze de verkregen informatie voor het publiek zullen publiceren.
