Το Cheerscrypt Ransomware επιτίθεται στους διακομιστές VMware ESXi

Το Cheerscrypt είναι ένα στέλεχος ransomware που εντοπίστηκε με στόχο διακομιστές VMware ESXi και χρησιμοποιώντας την τυπική προσέγγιση διπλού εκβιασμού που έχει γίνει σχεδόν συνηθισμένη στο ransomware τα τελευταία χρόνια.

Οι χειριστές Cheerscrypt χρειάζονται πρώτα αυξημένα δικαιώματα στον διακομιστή ESXi, ώστε να μπορούν να εκτελούν απομακρυσμένες εντολές. Δεν είναι πολύ σαφές πώς αποκτάται η προνομιακή πρόσβαση φλοιού, αλλά μόλις οι φορείς απειλής το αποκτήσουν, στέλνουν μια εντολή που κλείνει όλες τις εικονικές μηχανές στον διακομιστή. Μόλις κλείσουν οι διαδικασίες VM, το ransomware αρχίζει να κρυπτογραφεί αρχεία.

Μια σειρά επεκτάσεων και τύπων αρχείων που σχετίζονται με το VMware είναι κρυπτογραφημένα, συμπεριλαμβανομένων των .vmdk, vmem, .vmsn και .vswp. Στα κρυπτογραφημένα αρχεία προστίθεται η επέκταση .Cheers πέρα από την αρχική τους. Κάθε κατάλογος Cheerscrypt που ανακατεύει αρχεία λαμβάνει ένα αντίγραφο της σημείωσης λύτρων που ονομάζεται "How to Restore Your Files.txt".

Το σημείωμα δίνει στα θύματα 3 ημέρες για να πληρώσουν τα λύτρα και απειλεί ότι τα κλεμμένα δεδομένα θα διαρρεύσουν στο διαδίκτυο και η ζήτηση για λύτρα θα αυξηθεί εάν η πληρωμή δεν γίνει εγκαίρως.

Οι διακομιστές VMware ESXi έχουν επισημανθεί ως ιδιαίτερα προσοδοφόροι στόχοι επειδή χρησιμοποιούνται από πολλές μεγάλες εταιρείες και οι παράγοντες απειλών μπορούν να επηρεάσουν σημαντικά τμήματα της υποδομής του θύματος θέτοντας σε κίνδυνο και κρυπτογραφώντας ένα ενιαίο φυσικό σύστημα, που σημαίνει λιγότερη εργασία για τους χειριστές ransomware και μέγιστο δυνητικό κέρδος.