Cheerscrypt Ransomware greift VMware ESXi-Server an

Cheerscrypt ist ein Ransomware-Stamm, der als Ziel für VMware ESXi-Server entdeckt wurde und den typischen doppelten Erpressungsansatz verwendet, der in den letzten Jahren bei Ransomware fast üblich geworden ist.

Cheerscrypt-Betreiber benötigen zunächst erhöhte Berechtigungen auf dem ESXi-Server, damit sie Remote-Befehle ausführen können. Es ist nicht ganz klar, wie privilegierter Shell-Zugriff erlangt wird, aber sobald die Angreifer diesen haben, senden sie einen Befehl, der alle virtuellen Maschinen auf dem Server herunterfährt. Sobald die VM-Prozesse heruntergefahren sind, beginnt die Ransomware mit der Verschlüsselung von Dateien.

Eine Reihe von Erweiterungen und Dateitypen im Zusammenhang mit VMware sind verschlüsselt, darunter .vmdk, vmem, .vmsn und .vswp. Verschlüsselten Dateien wird die Erweiterung .Cheers an ihre ursprüngliche angehängt. Jedes Verzeichnis, in dem Cheerscrypt Dateien verschlüsselt, erhält eine Kopie der Lösegeldforderung namens „How to Restore Your Files.txt“.

Die Notiz gibt den Opfern 3 Tage Zeit, um das Lösegeld zu zahlen, und droht, dass gestohlene Daten online durchgesickert sind und die Lösegeldforderung steigen wird, wenn die Zahlung nicht rechtzeitig erfolgt.

VMware ESXi-Server wurden als besonders lukrative Ziele herausgegriffen, da sie von einer Reihe großer Unternehmen verwendet werden und die Angreifer erhebliche Teile der Infrastruktur des Opfers beeinträchtigen können, indem sie ein einzelnes physisches System kompromittieren und verschlüsseln, was weniger Arbeit für die Ransomware-Betreiber und bedeutet maximal möglicher Gewinn.