Cheerscrypt Ransomware

En ny Linux-baserad ransomware-familj inriktad på VMware ESXi-servrar har upptäckts av cybersäkerhetsforskare. Detaljer om just denna skadliga programvara avslöjades i en rapport från Trend Micro, som spårar hotet som Cheersrypt eller Cheers Ransomware. Det bör noteras att detta inte är det första ogillasinnade försöket att utnyttja ESXi-servrar. Tidigare har ransomware-familjer som LockBit , Hive och RansomEXX alla riktat in sig på ESXi-system, med avsikten att pressa ut pengar från de drabbade organisationerna.

Företag använder i stor utsträckning ESXi för att skapa och köra virtuella maskiner (VM), samtidigt som de delar samma enhetslagring. Den breda användningen av organisationer av alla storlekar och geografiska platser har gjort ESXi-servrarna till ett lukrativt mål för cyberkriminella organisationer.

Tekniska detaljer

Innan den kan distribueras helt på den infekterade enheten kräver Cheerscrypt en specifik indataparameter som anger den exakta sökvägen för krypteringen. Efteråt kommer hotet att implementera och utföra ett kommando för att avsluta VM-processer som körs för närvarande via ESXCLI. Det gör det för att säkerställa framgångsrik kryptering av VMware-relaterade filer som annars skulle vara otillgängliga. Hotet riktar sig trots allt specifikt till filer med tilläggen '.log', '.vmdk', '.vmem', '.vswp' och '.vmsn'.

För sin krypteringsrutin använder Cheerscrypt en kombination av SOSEMANUK-strömchifferet och ECDH. Filer krypteras med SOSEMANUK, medan ECDH ansvarar för att generera nyckeln. Varje låst fil kommer att ha '.Cheers' tillagd till sitt namn som ett nytt tillägg. Ett utmärkande kännetecken för hotet är att det ändrar namnen på filerna innan de börjar kryptera dem.

Cheerscrypts lösennota avslöjar att dess cyberkriminella operatörer kör ett system med dubbel utpressning. Förutom att låsa filerna till sina offer, hävdar hackarna också att de har samlat in värdefull konfidentiell information från de kränkta systemen. Om deras krav inte uppfylls inom 3 dagar varnar hotaktörerna för att de kommer att börja publicera den inhämtade informationen till allmänheten.