Cheerscrypt Ransomware attaque les serveurs VMware ESXi
Cheerscrypt est une souche de ransomware qui a été repérée ciblant les serveurs VMware ESXi et utilisant l'approche typique de double extorsion qui est devenue presque habituelle dans les ransomwares au cours des dernières années.
Les opérateurs Cheerscrypt ont d'abord besoin de privilèges élevés sur le serveur ESXi afin de pouvoir exécuter des commandes à distance. On ne sait pas trop comment l'accès privilégié au shell est obtenu, mais une fois que les acteurs de la menace l'ont, ils envoient une commande qui arrête toutes les machines virtuelles sur le serveur. Une fois les processus de la machine virtuelle arrêtés, le ransomware commence à chiffrer les fichiers.
Une gamme d'extensions et de types de fichiers liés à VMware sont chiffrés, notamment .vmdk, vmem, .vmsn et .vswp. Les fichiers cryptés reçoivent l'extension .Cheers ajoutée au-delà de leur fichier d'origine. Chaque répertoire dans lequel Cheerscrypt brouille les fichiers obtient une copie de la note de rançon intitulée "Comment restaurer vos fichiers.txt".
La note donne aux victimes 3 jours pour payer la rançon et menace que les données volées soient divulguées en ligne et que la demande de rançon augmente si le paiement n'est pas effectué à temps.
Les serveurs VMware ESXi ont été désignés comme des cibles particulièrement lucratives car ils sont utilisés par un certain nombre de grandes entreprises et les acteurs de la menace peuvent affecter des parties importantes de l'infrastructure de la victime en compromettant et en chiffrant un seul système physique, ce qui signifie moins de travail pour les opérateurs de ransomware et profit potentiel maximal.