Cheerscrypt Fidye Yazılımı
Siber güvenlik araştırmacıları, VMware ESXi sunucularını hedefleyen Linux tabanlı yeni bir fidye yazılımı ailesi ortaya çıkardı. Bu kötü amaçlı yazılımla ilgili ayrıntılar, Trend Micro tarafından Cheersrypt veya Cheers Ransomware olarak tehdidi takip eden bir raporda açıklandı. Bunun ESXi sunucularından yararlanmaya yönelik ilk kötü niyetli girişim olmadığı unutulmamalıdır. Önceden, LockBit , Hive ve RansomEXX gibi fidye yazılımı aileleri, etkilenen kuruluşlardan zorla para almak amacıyla tüm ESXi sistemlerini hedef aldı.
Kuruluşlar, aynı sürücü depolamasını paylaşırken sanal makineler (VM) oluşturmak ve çalıştırmak için ESXi'yi yaygın olarak kullanır. Her büyüklükteki ve coğrafi konumdaki kuruluşlar tarafından geniş çapta benimsenmesi, ESXi sunucularını siber suçlu kuruluşlar için kazançlı bir hedef haline getirdi.
Teknik detaylar
Cheerscrypt, virüslü cihaza tam olarak dağıtılmadan önce, şifrelemenin tam yolunu belirten belirli bir giriş parametresi gerektirir. Ardından tehdit, ESXCLI aracılığıyla halihazırda çalışan VM işlemlerini sonlandırmak için bir komut uygulayacak ve yürütecektir. Bunu, aksi takdirde erişilemeyecek olan VMware ile ilgili dosyaların başarılı bir şekilde şifrelenmesini sağlamak için yapar. Sonuçta, tehdit özellikle '.log', '.vmdk', '.vmem,' '.vswp' ve '.vmsn' uzantılarına sahip dosyaları hedefliyor.
Cheerscrypt, şifreleme rutini için SOSEMANUK akış şifresi ve ECDH'nin bir kombinasyonunu kullanır. Dosyalar SOSEMANUK ile şifrelenirken, anahtarı oluşturmaktan ECDH sorumludur. Her kilitli dosyanın adına yeni bir uzantı olarak '.Şerefe' eklenecektir. Tehdidin özel bir özelliği, şifrelemeye başlamadan önce dosyaların adlarını değiştirmesidir.
Cheerscrypt'in fidye notu, siber suçlu operatörlerinin çifte gasp planı yürüttüğünü ortaya koyuyor. Bilgisayar korsanları, kurbanlarının dosyalarını kilitlemenin yanı sıra, ihlal edilen sistemlerden değerli gizli bilgiler topladığını da iddia ediyor. Tehdit aktörleri, taleplerinin 3 gün içinde karşılanmaması durumunda elde ettikleri bilgileri kamuoyuna açıklamaya başlayacakları konusunda uyarıyor.
