Cheerscrypt Ransomware

Isang bagong Linux-based ransomware family na nagta-target sa mga VMware ESXi server ay natuklasan ng mga mananaliksik sa cybersecurity. Ang mga detalye tungkol sa partikular na malware na ito ay inihayag sa isang ulat ng Trend Micro, na sinusubaybayan ang banta bilang Cheersrypt, o ang Cheers Ransomware. Dapat tandaan na hindi ito ang unang masamang pag-iisip na pagtatangka na pagsamantalahan ang mga server ng ESXi. Dati, ang mga pamilya ng ransomware gaya ng LockBit , Hive , at RansomEXX ay naka-target lahat ng mga ESXi system, na may layuning mangikil ng pera mula sa mga apektadong organisasyon.

Malawakang ginagamit ng mga negosyo ang ESXi para sa paggawa at pagpapatakbo ng mga virtual machine (VM), habang nagbabahagi ng parehong storage ng drive. Ang malawak na pag-aampon ng mga organisasyon sa lahat ng laki at heyograpikong lokasyon ay ginawa ang mga ESXi server na isang kapaki-pakinabang na target para sa mga organisasyong cybercriminal.

Mga Detalye ng Teknikal

Bago ito ganap na ma-deploy sa infected na device, nangangailangan ang Cheerscrypt ng partikular na parameter ng input na tumutukoy sa eksaktong path para sa encryption. Pagkatapos, ipapatupad at ipapatupad ng banta ang isang utos upang wakasan ang kasalukuyang tumatakbong mga proseso ng VM sa pamamagitan ng ESXCLI. Ginagawa ito upang matiyak ang matagumpay na pag-encrypt ng mga file na nauugnay sa VMware na maaaring hindi ma-access. Pagkatapos ng lahat, partikular na tina-target ng banta ang mga file na may mga extension na '.log,' '.vmdk,' '.vmem,' '.vswp' at '.vmsn'.

Para sa nakagawiang pag-encrypt nito, gumagamit ang Cheerscrypt ng kumbinasyon ng SOSEMANUK stream cipher at ECDH. Ang mga file ay naka-encrypt gamit ang SOSEMANUK, habang ang ECDH ay responsable para sa pagbuo ng susi. Ang bawat naka-lock na file ay magkakaroon ng '.Cheers' na nakadugtong sa pangalan nito bilang bagong extension. Ang isang kakaibang katangian ng banta ay ang pagbabago ng mga pangalan ng mga file bago simulan ang kanilang pag-encrypt.

Ang ransom note ng Cheerscrypt ay nagpapakita na ang mga cybercriminal operator nito ay nagpapatakbo ng double-extortion scheme. Bukod sa pag-lock ng mga file ng kanilang mga biktima, inaangkin din ng mga hacker na nakolekta sila ng mahalagang kumpidensyal na impormasyon mula sa mga nilabag na sistema. Kung hindi matugunan ang kanilang mga kahilingan sa loob ng 3 araw, nagbabala ang mga aktor ng pagbabanta na sisimulan nilang i-publish ang nakuhang impormasyon sa publiko.