Cheerscrypt Ransomware
Badacze cyberbezpieczeństwa odkryli nową rodzinę oprogramowania ransomware opartego na systemie Linux, którego celem są serwery VMware ESXi. Szczegóły dotyczące tego konkretnego złośliwego oprogramowania zostały ujawnione w raporcie firmy Trend Micro, śledzącym zagrożenie jako Cheersrypt lub Cheers Ransomware. Należy zauważyć, że nie jest to pierwsza niefortunna próba wykorzystania serwerów ESXi. Wcześniej rodziny oprogramowania ransomware, takie jak LockBit , Hive i RansomEXX , atakowały systemy ESXi w celu wyłudzenia pieniędzy od zaatakowanych organizacji.
Przedsiębiorstwa powszechnie używają ESXi do tworzenia i uruchamiania maszyn wirtualnych (VM), jednocześnie dzieląc tę samą pamięć dyskową. Szerokie przyjęcie przez organizacje różnej wielkości i lokalizacji sprawiło, że serwery ESXi stały się lukratywnym celem dla organizacji cyberprzestępczych.
Szczegóły techniczne
Zanim zostanie w pełni wdrożony na zainfekowanym urządzeniu, Cheerscrypt wymaga określonego parametru wejściowego, który określa dokładną ścieżkę szyfrowania. Następnie zagrożenie zaimplementuje i wykona polecenie zakończenia aktualnie uruchomionych procesów maszyny wirtualnej za pośrednictwem ESXCLI. Robi to, aby zapewnić pomyślne szyfrowanie plików związanych z VMware, które w innym przypadku mogłyby być niedostępne. W końcu zagrożenie to dotyczy w szczególności plików z rozszerzeniami „.log”, „.vmdk”, „.vmem”, „.vswp” i „.vmsn”.
W swojej procedurze szyfrowania Cheerscrypt wykorzystuje kombinację szyfru strumieniowego SOSEMANUK i ECDH. Pliki są szyfrowane za pomocą SOSEMANUK, natomiast ECDH odpowiada za generowanie klucza. Każdy zablokowany plik będzie miał dodany do nazwy „.Cheers” jako nowe rozszerzenie. Szczególną cechą zagrożenia jest to, że modyfikuje nazwy plików przed rozpoczęciem ich szyfrowania.
Nota o okupie Cheerscrypt ujawnia, że jej operatorzy cyberprzestępcy stosują schemat podwójnego wymuszenia. Oprócz blokowania plików swoich ofiar hakerzy twierdzą również, że zebrali cenne poufne informacje z naruszonych systemów. Jeśli ich żądania nie zostaną spełnione w ciągu 3 dni, cyberprzestępcy ostrzegają, że zaczną upubliczniać zdobyte informacje.
