Cheerscrypt 勒索軟件
網絡安全研究人員發現了一個針對 VMware ESXi 服務器的基於 Linux 的新勒索軟件系列。趨勢科技在一份報告中披露了有關此特定惡意軟件的詳細信息,該報告將威脅跟踪為 Cheersrypt 或 Cheers Ransomware。應該注意的是,這不是第一次惡意嘗試利用 ESXi 服務器。此前, LockBit 、 Hive和RansomEXX等勒索軟件系列都以 ESXi 系統為目標,目的是向受影響的組織勒索錢財。
企業廣泛使用 ESXi 來創建和運行虛擬機 (VM),同時共享相同的驅動器存儲。各種規模和地理位置的組織的廣泛採用使 ESXi 服務器成為網絡犯罪組織有利可圖的目標。
技術細節
在完全部署到受感染設備之前,Cheerscrypt 需要一個特定的輸入參數來指定加密的確切路徑。之後,威脅將實施並執行命令以通過 ESXCLI 終止當前正在運行的 VM 進程。這樣做是為了確保成功加密可能無法訪問的 VMware 相關文件。畢竟,威脅專門針對具有“.log”、“.vmdk”、“.vmem”、“.vswp”和“.vmsn”擴展名的文件。
對於其加密例程,Cheerscrypt 使用了 SOSEMANUK 流密碼和 ECDH 的組合。文件使用 SOSEMANUK 加密,而 ECDH 負責生成密鑰。每個鎖定的文件都會在其名稱後附加“.Cheers”作為新的擴展名。該威脅的一個特殊特徵是它會在開始加密之前修改文件的名稱。
Cheerscrypt 的贖金記錄顯示,其網絡犯罪運營商正在實施雙重勒索計劃。除了鎖定受害者的文件外,黑客還聲稱從被破壞的系統中收集了有價值的機密信息。如果他們的要求在 3 天內沒有得到滿足,威脅行為者會警告他們將開始向公眾發布獲得的信息。
