Ένα νέο ransomware με το όνομα «Cheers» εμφανίστηκε στον χώρο του εγκλήματος στον κυβερνοχώρο και ξεκίνησε τη λειτουργία του στοχεύοντας ευάλωτους διακομιστές VMware ESXi.

Το VMware ESXi είναι μια πλατφόρμα εικονικοποίησης που χρησιμοποιείται συνήθως από μεγάλους οργανισμούς παγκοσμίως, επομένως η κρυπτογράφηση τους προκαλεί συνήθως σοβαρή αναστάτωση στις λειτουργίες μιας επιχείρησης.

Έχουμε δει πολλές ομάδες ransomware να στοχεύουν την πλατφόρμα VMware ESXi στο παρελθόν, με τις πιο πρόσφατες προσθήκες να είναι το LockBit και Hive.

Η προσθήκη του Cheers ransomware στο κλαμπ ανακαλύφθηκε από αναλυτές της Trend Micro, οι οποίοι αποκαλούν τη νέα παραλλαγή «Cheerscrypt».

Μόλυνση και κρυπτογράφηση

Μόλις παραβιαστεί ένας διακομιστής VMware ESXi, οι παράγοντες απειλής εκκινούν τον κρυπτογραφητή, ο οποίος θα απαριθμήσει αυτόματα τις εικονικές μηχανές που τρέχουν και θα τις τερματίσει χρησιμοποιώντας την ακόλουθη εντολή esxcli.

esxcli vm διαδικασία kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

Κατά την κρυπτογράφηση αρχείων, αναζητά συγκεκριμένα αρχεία με τα ακόλουθα .log, .vmdk , .vmem, .vswp και .vmsn επεκτάσεις. Αυτές οι επεκτάσεις αρχείων συσχετίζονται με στιγμιότυπα ESXi, αρχεία καταγραφής, αρχεία ανταλλαγής, αρχεία σελιδοποίησης και εικονικούς δίσκους.

Κάθε κρυπτογραφημένο αρχείο θα έχει την επέκταση «.Cheers» προσαρτημένη στο όνομα του αρχείου του. Παραδόξως, η μετονομασία των αρχείων γίνεται πριν από την κρυπτογράφηση, επομένως εάν δεν επιτρέπεται η πρόσβαση για μετονομασία ενός αρχείου, η κρυπτογράφηση θα αποτύχει, αλλά το αρχείο θα εξακολουθεί να μετονομάζεται.

Το σχήμα κρυπτογράφησης χρησιμοποιεί ένα ζεύγος δημόσιων και ιδιωτικών κλειδιών για την εξαγωγή ενός μυστικού κλειδιού (κρυπτογράφηση ροής SOSEMANUK) και το ενσωματώνει σε κάθε κρυπτογραφημένο αρχείο. Το ιδιωτικό κλειδί που χρησιμοποιείται για τη δημιουργία του μυστικού κλειδιού διαγράφεται για να αποτραπεί η ανάκτηση.​