El ransomware Cheerscrypt ataca servidores VMware ESXi
Cheerscrypt es una variedad de ransomware que se detectó apuntando a los servidores VMware ESXi y utilizando el enfoque típico de doble extorsión que se ha vuelto casi habitual en el ransomware en los últimos años.
Los operadores de Cheerscrypt primero necesitan privilegios elevados en el servidor ESXi para poder ejecutar comandos remotos. No está muy claro cómo se obtiene el acceso de shell privilegiado, pero una vez que los actores de amenazas lo tienen, envían un comando que apaga todas las máquinas virtuales en el servidor. Una vez que se cierran los procesos de la máquina virtual, el ransomware comienza a cifrar los archivos.
Se cifra una variedad de extensiones y tipos de archivos relacionados con VMware, incluidos .vmdk, vmem, .vmsn y .vswp. Los archivos cifrados obtienen la extensión .Cheers además de la original. Cada directorio en el que Cheerscrypt codifica los archivos obtiene una copia de la nota de rescate llamada "Cómo restaurar sus archivos.txt".
La nota les da a las víctimas 3 días para pagar el rescate y amenaza con que los datos robados se filtrarán en línea y la demanda de rescate aumentará si el pago no se realiza a tiempo.
Los servidores VMware ESXi han sido señalados como objetivos particularmente lucrativos porque son utilizados por varias grandes corporaciones y los actores de amenazas pueden afectar porciones significativas de la infraestructura de la víctima al comprometer y cifrar un solo sistema físico, lo que significa menos trabajo para los operadores de ransomware y máxima ganancia potencial.