Cheerscrypt Ransomware

O nouă familie de ransomware bazată pe Linux care vizează serverele VMware ESXi a fost descoperită de cercetătorii în domeniul securității cibernetice. Detalii despre acest malware anume au fost dezvăluite într-un raport al Trend Micro, urmărind amenințarea ca Cheersrypt sau Cheers Ransomware. Trebuie remarcat faptul că aceasta nu este prima încercare rea de a exploata serverele ESXi. Anterior, familiile de ransomware precum LockBit , Hive și RansomEXX au vizat toate sistemele ESXi, cu intenția de a stoarce bani de la organizațiile afectate.

Întreprinderile folosesc pe scară largă ESXi pentru a crea și rula mașini virtuale (VM), în timp ce partajează aceeași unitate de stocare. Adoptarea largă de către organizațiile de toate dimensiunile și locațiile geografice a făcut din serverele ESXi o țintă profitabilă pentru organizațiile criminale cibernetice.

Detalii tehnice

Înainte de a putea fi implementat complet pe dispozitivul infectat, Cheerscrypt necesită un parametru de intrare specific care specifică calea exactă pentru criptare. Ulterior, amenințarea va implementa și va executa o comandă pentru a opri procesele VM care rulează în prezent prin ESXCLI. Face acest lucru pentru a asigura criptarea cu succes a fișierelor legate de VMware, care altfel ar putea fi inaccesibile. La urma urmei, amenințarea vizează în mod specific fișierele cu extensiile „.log”, „.vmdk”, „.vmem”, „.vswp” și „.vmsn”.

Pentru rutina sa de criptare, Cheerscrypt utilizează o combinație de cifrul de flux SOSEMANUK și ECDH. Fișierele sunt criptate cu SOSEMANUK, în timp ce ECDH este responsabil pentru generarea cheii. Fiecare fișier blocat va avea „.Cheers” atașat la numele său ca o nouă extensie. O caracteristică particulară a amenințării este că modifică numele fișierelor înainte de a începe criptarea acestora.

Nota de răscumpărare a Cheerscrypt dezvăluie că operatorii săi criminali cibernetici derulează o schemă de dublă extorcare. Pe lângă blocarea fișierelor victimelor lor, hackerii susțin că au colectat și informații confidențiale valoroase din sistemele încălcate. Dacă cererile lor nu sunt îndeplinite în termen de 3 zile, actorii amenințărilor avertizează că vor începe să publice informațiile dobândite în public.