Cheerscrypt Ransomware

Uma nova família de ransomware baseada no Linux visando servidores VMware ESXi foi descoberta por pesquisadores de segurança cibernética. Detalhes sobre esse malware específico foram revelados em um relatório da Trend Micro, rastreando a ameaça como Cheersrypt ou Cheers Ransomware. Deve-se notar que esta não é a primeira tentativa mal-intencionada de explorar servidores ESXi. Anteriormente, famílias de ransomware como LockBit, Hive e RansomEXX tinham como alvo os sistemas ESXi, com a intenção de extorquir dinheiro das organizações afetadas.

As empresas usam amplamente o ESXi para criar e executar máquinas virtuais (VM), enquanto compartilham a mesma unidade de armazenamento. A ampla adoção por organizações de todos os tamanhos e localizações geográficas tornou os servidores ESXi um alvo lucrativo para organizações cibercriminosas.

Detalhes Técnicos

Antes de ser totalmente implantado no dispositivo infectado, o Cheerscrypt requer um parâmetro de entrada específico que especifica o caminho exato para a criptografia. Depois, a ameaça implementará e executará um comando para encerrar os processos de VM atualmente em execução via ESXCLI. Ele faz isso para garantir a criptografia bem-sucedida de arquivos relacionados ao VMware que, de outra forma, poderiam ficar inacessíveis. Afinal, a ameaça visa especificamente arquivos com as extensões '.log', '.vmdk', '.vmem', '.vswp' e '.vmsn'.

Para sua rotina de criptografia, o Cheerscrypt utiliza uma combinação da cifra de fluxo SOSEMANUK e ECDH. Os arquivos são criptografados com SOSEMANUK, enquanto o ECDH é responsável por gerar a chave. Cada arquivo bloqueado terá '.Cheers' anexado ao seu nome como uma nova extensão. Uma característica peculiar da ameaça é que ela modifica os nomes dos arquivos antes de iniciar sua criptografia.

A nota de resgate da Cheerscrypt revela que seus operadores cibercriminosos estão executando um esquema de dupla extorsão. Além de bloquear os arquivos de suas vítimas, os hackers também afirmam ter coletado informações confidenciais valiosas dos sistemas violados. Se suas demandas não forem atendidas em 3 dias, os agentes da ameaça avisam que começarão a publicar as informações adquiridas ao público.