Cheerscrypt Ransomware angriber VMware ESXi-servere

Cheerscrypt er en stamme af ransomware, der blev set målrettet mod VMware ESXi-servere og ved at bruge den typiske dobbeltafpresningstilgang, der er blevet næsten sædvanlig inden for ransomware i løbet af de seneste år.

Cheerscrypt-operatører har først brug for forhøjede privilegier på ESXi-serveren, så de kan udføre fjernkommandoer. Det er ikke for tydeligt, hvordan privilegeret shell-adgang opnås, men når trusselsaktørerne har det, sender de en kommando, der lukker ned for alle virtuelle maskiner på serveren. Når VM-processerne er lukket ned, begynder ransomwaren at kryptere filer.

En række udvidelser og filtyper relateret til VMware er krypteret, herunder .vmdk, vmem, .vmsn og .vswp. Krypterede filer får tilføjet .Cheers-udvidelsen ud over deres originale. Hver mappe, som Cheerscrypt forvrider filer i, får en kopi af løsesumsedlen kaldet "How to Restore Your Files.txt".

Sedlen giver ofrene 3 dage til at betale løsesummen og truer med, at stjålne data vil blive lækket online, og kravet om løsesum vil vokse, hvis betalingen ikke sker til tiden.

VMware ESXi-servere er blevet udpeget som særligt lukrative mål, fordi de bruges af en række store virksomheder, og trusselsaktørerne kan påvirke betydelige dele af ofrets infrastruktur ved at kompromittere og kryptere et enkelt fysisk system, hvilket betyder mindre arbejde for ransomware-operatørerne og maksimalt potentielt overskud.