Cheerscrypt 勒索软件
网络安全研究人员发现了一个针对 VMware ESXi 服务器的基于 Linux 的新勒索软件系列。趋势科技在一份报告中披露了有关此特定恶意软件的详细信息,该报告将威胁跟踪为 Cheersrypt 或 Cheers Ransomware。应该注意的是,这不是第一次恶意尝试利用 ESXi 服务器。此前, LockBit 、 Hive和RansomEXX等勒索软件系列都以 ESXi 系统为目标,目的是向受影响的组织勒索钱财。
企业广泛使用 ESXi 来创建和运行虚拟机 (VM),同时共享相同的驱动器存储。各种规模和地理位置的组织的广泛采用使 ESXi 服务器成为网络犯罪组织有利可图的目标。
技术细节
在完全部署到受感染设备之前,Cheerscrypt 需要一个特定的输入参数来指定加密的确切路径。之后,威胁将实施并执行命令以通过 ESXCLI 终止当前正在运行的 VM 进程。这样做是为了确保成功加密可能无法访问的 VMware 相关文件。毕竟,威胁专门针对具有“.log”、“.vmdk”、“.vmem”、“.vswp”和“.vmsn”扩展名的文件。
对于其加密例程,Cheerscrypt 使用了 SOSEMANUK 流密码和 ECDH 的组合。文件使用 SOSEMANUK 加密,而 ECDH 负责生成密钥。每个锁定的文件都会在其名称后附加“.Cheers”作为新的扩展名。该威胁的一个特殊特征是它会在开始加密之前修改文件的名称。
Cheerscrypt 的赎金记录显示,其网络犯罪运营商正在实施双重勒索计划。除了锁定受害者的文件外,黑客还声称从被破坏的系统中收集了有价值的机密信息。如果他们的要求在 3 天内没有得到满足,威胁行为者会警告他们将开始向公众发布获得的信息。
