Cheerscrypt Ransomware

Дослідники кібербезпеки виявили нове сімейство програм-вимагачів на базі Linux, націлених на сервери VMware ESXi. Подробиці про це зловмисне програмне забезпечення були розкриті у звіті Trend Micro, який відстежує загрозу як Cheersrypt або Cheers Ransomware. Слід зазначити, що це не перша непродумана спроба експлуатації серверів ESXi. Раніше всі сімейства програм-вимагачів, такі як LockBit , Hive і RansomEXX , були націлені на системи ESXi з метою вимагання грошей у постраждалих організацій.

Підприємства широко використовують ESXi для створення та запуску віртуальних машин (VM), при цьому спільне сховище на одному диску. Широке застосування організаціями будь-якого розміру та географічного розташування зробило сервери ESXi прибутковою метою для організацій кіберзлочинців.

Технічні деталі

Перш ніж його можна буде повністю розгорнути на зараженому пристрої, Cheerscrypt потрібен певний вхідний параметр, який визначає точний шлях для шифрування. Після цього загроза реалізує та виконає команду, щоб завершити поточні запущені процеси ВМ через ESXCLI. Це робиться для того, щоб забезпечити успішне шифрування файлів, пов’язаних з VMware, які в іншому випадку могли б бути недоступними. Зрештою, загроза спеціально спрямована на файли з розширеннями .log, .vmdk, .vmem, .vswp та .vmsn.

Для своєї процедури шифрування Cheerscrypt використовує комбінацію потокового шифру SOSEMANUK і ECDH. Файли шифруються за допомогою SOSEMANUK, а ECDH відповідає за створення ключа. До назви кожного заблокованого файлу буде додано «.Cheers» як нове розширення. Особливістю загрози є те, що вона змінює імена файлів перед початком їх шифрування.

Записка про викуп Cheerscrypt показує, що її кібер-злочинці використовують схему подвійного вимагання. Окрім блокування файлів своїх жертв, хакери також стверджують, що зібрали цінну конфіденційну інформацію із зламаних систем. Якщо їх вимоги не будуть виконані протягом 3 днів, суб’єкти загроз попереджають, що почнуть оприлюднювати отриману інформацію для громадськості.