Cheerscrypt Ransomware

กลุ่ม ransomware บน Linux ใหม่ที่กำหนดเป้าหมายเซิร์ฟเวอร์ VMware ESXi ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ รายละเอียดเกี่ยวกับมัลแวร์ตัวนี้เปิดเผยในรายงานของ Trend Micro การติดตามภัยคุกคามในชื่อ Cheersrypt หรือ Cheers Ransomware ควรสังเกตว่านี่ไม่ใช่ความพยายามครั้งแรกในการใช้ประโยชน์จากเซิร์ฟเวอร์ ESXi ก่อนหน้านี้ ตระกูล ransomware เช่น LockBit , Hive และ RansomEXX ต่าง ก็มีเป้าหมายระบบ ESXi ทั้งหมด โดยมีเจตนาที่จะรีดไถเงินจากองค์กรที่ได้รับผลกระทบ

องค์กรต่างๆ ใช้ ESXi อย่างกว้างขวางในการสร้างและใช้งานเครื่องเสมือน (VM) ในขณะที่ใช้ที่เก็บข้อมูลไดรฟ์เดียวกัน การยอมรับอย่างกว้างขวางโดยองค์กรทุกขนาดและที่ตั้งทางภูมิศาสตร์ทำให้เซิร์ฟเวอร์ ESXi เป็นเป้าหมายที่ร่ำรวยสำหรับองค์กรอาชญากรไซเบอร์

รายละเอียดทางเทคนิค

ก่อนที่มันจะสามารถใช้งานได้อย่างสมบูรณ์บนอุปกรณ์ที่ติดไวรัส Cheerscrypt จำเป็นต้องมีพารามิเตอร์อินพุตเฉพาะที่ระบุเส้นทางที่แน่นอนสำหรับการเข้ารหัส หลังจากนั้น ภัยคุกคามจะดำเนินการและดำเนินการคำสั่งเพื่อยุติกระบวนการ VM ที่รันอยู่ในปัจจุบันผ่าน ESXCLI ซึ่งทำเพื่อให้แน่ใจว่าการเข้ารหัสไฟล์ที่เกี่ยวข้องกับ VMware ที่อาจไม่สามารถเข้าถึงได้สำเร็จ ท้ายที่สุด ภัยคุกคามกำหนดเป้าหมายไฟล์ที่มีนามสกุล '.log,' '.vmdk,' '.vmem,' '.vswp' และ '.vmsn' โดยเฉพาะ

สำหรับรูทีนการเข้ารหัส Cheerscrypt ใช้การผสมผสานระหว่างรหัสสตรีม SOSEMANUK และ ECDH ไฟล์ถูกเข้ารหัสด้วย SOSEMANUK ในขณะที่ ECDH มีหน้าที่สร้างคีย์ ไฟล์ที่ถูกล็อคแต่ละไฟล์จะมี '.Cheers' ต่อท้ายชื่อเป็นนามสกุลใหม่ ลักษณะเฉพาะของภัยคุกคามคือแก้ไขชื่อไฟล์ก่อนเริ่มการเข้ารหัส

บันทึกค่าไถ่ของ Cheerscrypt เผยให้เห็นว่าผู้ดำเนินการอาชญากรไซเบอร์กำลังใช้แผนการกรรโชกสองครั้ง นอกจากการล็อคไฟล์ของเหยื่อแล้ว แฮกเกอร์ยังอ้างว่าได้รวบรวมข้อมูลที่เป็นความลับอันมีค่าจากระบบที่ถูกละเมิด หากไม่เป็นไปตามข้อกำหนดภายใน 3 วัน ผู้คุกคามจะเตือนว่าพวกเขาจะเริ่มเผยแพร่ข้อมูลที่ได้มาสู่สาธารณะ