A Cheerscrypt Ransomware megtámadja a VMware ESXi szervereket

A Cheerscrypt egy olyan zsarolóvírus-törzs, amely a VMware ESXi szervereket célozza meg, és a tipikus kettős zsarolási megközelítést alkalmazza, amely az elmúlt években szinte megszokottá vált a zsarolóvírusoknál.

A Cheerscrypt operátoroknak először magasabb szintű jogosultságokkal kell rendelkezniük az ESXi szerveren, hogy távoli parancsokat hajthassanak végre. Nem túl világos, hogy a privilegizált shell-hozzáférés hogyan érhető el, de miután a fenyegetés szereplői ezt megkapták, küldenek egy parancsot, amely leállítja a kiszolgálón lévő összes virtuális gépet. A virtuális gép folyamatainak leállítása után a zsarolóprogram megkezdi a fájlok titkosítását.

A VMware-hez kapcsolódó kiterjesztések és fájltípusok egy sora titkosított, beleértve a .vmdk, vmem, .vmsn és .vswp fájlokat. A titkosított fájlok a .Cheers kiterjesztést kapják az eredeti kiterjesztés mellett. A Cheerscrypt minden könyvtára, amelyben fájlokat kódol, megkapja a "Hogyan állítsd vissza a fájlokat.txt" nevű váltságdíjat.

A feljegyzés 3 napot ad az áldozatoknak a váltságdíj kifizetésére, és azzal fenyeget, hogy az ellopott adatok kiszivárogtatják az internetet, és a váltságdíj iránti kereslet növekedni fog, ha nem fizetik ki időben.

A VMware ESXi szervereket a különösen jövedelmező célpontok közé sorolták, mivel számos nagyvállalat használja őket, és a fenyegetés szereplői az áldozat infrastruktúrájának jelentős részét érinthetik egyetlen fizikai rendszer kompromittálásával és titkosításával, ami kevesebb munkát jelent a ransomware-üzemeltetőknek és maximális potenciális profit.