Программа-вымогатель Cheerscrypt

Исследователи кибербезопасности обнаружили новое семейство программ-вымогателей на базе Linux, нацеленных на серверы VMware ESXi. Подробности об этом конкретном вредоносном ПО были раскрыты в отчете Trend Micro, отслеживающем угрозу как Cheersrypt или Cheers Ransomware. Следует отметить, что это не первая злонамеренная попытка эксплуатации серверов ESXi. Ранее все семейства программ-вымогателей, такие как LockBit , Hive и RansomEXX , были нацелены на системы ESXi с целью вымогательства денег у пострадавших организаций.

Предприятия широко используют ESXi для создания и запуска виртуальных машин (ВМ) при совместном использовании одного и того же дискового хранилища. Широкое распространение среди организаций любого размера и географического расположения сделало серверы ESXi прибыльной целью для киберпреступных организаций.

Технические подробности

Перед полным развертыванием Cheerscrypt на зараженном устройстве требуется определенный входной параметр, указывающий точный путь для шифрования. После этого угроза реализует и выполнит команду для завершения текущих запущенных процессов виртуальной машины через ESXCLI. Это делается для обеспечения успешного шифрования файлов, связанных с VMware, которые иначе были бы недоступны. В конце концов, угроза нацелена именно на файлы с расширениями «.log», «.vmdk», «.vmem», «.vswp» и «.vmsn».

Для своей процедуры шифрования Cheerscrypt использует комбинацию потокового шифра SOSEMANUK и ECDH. Файлы шифруются с помощью SOSEMANUK, а ECDH отвечает за генерацию ключа. К каждому заблокированному файлу будет добавлено расширение «.Cheers» в качестве нового расширения. Особенностью угрозы является то, что она изменяет имена файлов перед началом их шифрования.

Записка Cheerscrypt о выкупе показывает, что ее операторы-киберпреступники используют схему двойного вымогательства. Помимо блокировки файлов своих жертв, хакеры также утверждают, что получили ценную конфиденциальную информацию из взломанных систем. Если их требования не будут выполнены в течение 3 дней, злоумышленники предупреждают, что начнут публиковать полученную информацию для общественности.