Cheerscrypt Ransomware

Raziskovalci kibernetske varnosti so odkrili novo družino odkupovalne programske opreme, ki temelji na Linuxu, ki cilja na strežnike VMware ESXi. Podrobnosti o tej zlonamerni programski opremi so bile razkrite v poročilu Trend Micro, ki sledi grožnji kot Cheersrypt ali Cheers Ransomware. Treba je opozoriti, da to ni prvi slaboumni poskus izkoriščanja strežnikov ESXi. Prej so vse družine izsiljevalske programske opreme, kot so LockBit , Hive in RansomEXX , ciljale na sisteme ESXi, z namenom izsiljevanja denarja od prizadetih organizacij.

Podjetja pogosto uporabljajo ESXi za ustvarjanje in zagon navideznih strojev (VM), medtem ko si delijo isti pomnilnik pogona. Zaradi široke uporabe organizacij vseh velikosti in geografskih lokacij so strežniki ESXi donosna tarča za organizacije kibernetskih kriminalcev.

Tehnične podrobnosti

Preden se lahko v celoti namesti na okuženi napravi, Cheerscrypt zahteva poseben vhodni parameter, ki določa natančno pot za šifriranje. Nato bo grožnja implementirala in izvršila ukaz za prekinitev trenutno delujočih procesov VM prek ESXCLI. To stori, da zagotovi uspešno šifriranje datotek, povezanih z VMware, ki bi sicer bile nedostopne. Konec koncev, grožnja cilja posebej na datoteke z razširitvami '.log', '.vmdk', '.vmem', '.vswp' in '.vmsn'.

Za svojo rutino šifriranja Cheerscrypt uporablja kombinacijo tokovne šifre SOSEMANUK in ECDH. Datoteke so šifrirane s SOSEMANUK, medtem ko je ECDH odgovoren za generiranje ključa. Vsaki zaklenjeni datoteki bo ime dodano '.Cheers' kot nova pripona. Posebna značilnost grožnje je, da spremeni imena datotek, preden začne njihovo šifriranje.

Odkupnina Cheerscrypta razkriva, da njegovi operaterji kibernetskih kriminalcev izvajajo shemo dvojnega izsiljevanja. Hekerji poleg zaklepanja datotek svojih žrtev trdijo tudi, da so iz vlomljenih sistemov zbrali dragocene zaupne podatke. Če njihove zahteve ne bodo izpolnjene v 3 dneh, nosilci groženj opozarjajo, da bodo pridobljene informacije začeli objavljati v javnosti.