Cheerscrypt Ransomware

Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú rodinu ransomvéru založenú na Linuxe zameranú na servery VMware ESXi. Podrobnosti o tomto konkrétnom malvéri boli odhalené v správe Trend Micro, ktorá sleduje hrozbu ako Cheersrypt alebo Cheers Ransomware. Treba poznamenať, že toto nie je prvý pokus o zneužitie serverov ESXi. Predtým sa rodiny ransomvéru ako LockBit , Hive a RansomEXX zamerali na systémy ESXi s úmyslom vymámiť peniaze od postihnutých organizácií.

Podniky široko používajú ESXi na vytváranie a spúšťanie virtuálnych strojov (VM), pričom zdieľajú rovnaké úložisko disku. Široké prijatie organizáciami všetkých veľkostí a geografických umiestnení urobilo zo serverov ESXi lukratívny cieľ pre kyberzločinecké organizácie.

Technické detaily

Pred úplným nasadením na infikovanom zariadení vyžaduje Cheerscrypt špecifický vstupný parameter, ktorý špecifikuje presnú cestu pre šifrovanie. Potom hrozba implementuje a vykoná príkaz na ukončenie aktuálne spustených procesov VM cez ESXCLI. Robí to preto, aby sa zabezpečilo úspešné šifrovanie súborov súvisiacich s VMware, ktoré by inak mohli byť nedostupné. Koniec koncov, hrozba sa špecificky zameriava na súbory s príponami „.log“, „.vmdk“, „.vmem“, „.vswp“ a „.vmsn“.

Pre svoju rutinu šifrovania využíva Cheerscrypt kombináciu prúdovej šifry SOSEMANUK a ECDH. Súbory sú šifrované pomocou SOSEMANUK, zatiaľ čo ECDH je zodpovedné za generovanie kľúča. Každý zamknutý súbor bude mať k názvu pripojené „.Cheers“ ako novú príponu. Zvláštnou charakteristikou hrozby je, že upravuje názvy súborov pred spustením ich šifrovania.

Výkupný list Cheerscrypt odhaľuje, že jeho kyberzločinci prevádzkujú schému dvojitého vydierania. Hackeri okrem zamknutia súborov svojich obetí tiež tvrdia, že zozbierali cenné dôverné informácie z narušených systémov. Ak ich požiadavky nebudú splnené do 3 dní, aktéri hrozby upozorňujú, že získané informácie začnú zverejňovať.