Cheerscrypt Ransomware attacca i server VMware ESXi

Cheerscrypt è un ceppo di ransomware che è stato individuato prendendo di mira i server VMware ESXi e utilizzando il tipico approccio della doppia estorsione che è diventato quasi consueto nei ransomware negli ultimi anni.

Gli operatori di Cheerscrypt necessitano innanzitutto di privilegi elevati sul server ESXi in modo che possano eseguire comandi remoti. Non è molto chiaro come si ottenga l'accesso privilegiato alla shell, ma una volta che gli attori delle minacce lo hanno, inviano un comando che spegne tutte le macchine virtuali sul server. Una volta che i processi della macchina virtuale vengono chiusi, il ransomware inizia a crittografare i file.

Una gamma di estensioni e tipi di file relativi a VMware sono crittografati, inclusi .vmdk, vmem, .vmsn e .vswp. I file crittografati ottengono l'estensione .Cheers aggiunta oltre a quella originale. Ogni directory in cui Cheerscrypt codifica i file ottiene una copia della richiesta di riscatto chiamata "Come ripristinare i file.txt".

La nota offre alle vittime 3 giorni per pagare il riscatto e minaccia che i dati rubati verranno divulgati online e la richiesta di riscatto aumenterà se il pagamento non viene effettuato in tempo.

I server VMware ESXi sono stati individuati come obiettivi particolarmente redditizi perché sono utilizzati da numerose grandi aziende e gli attori delle minacce possono influenzare porzioni significative dell'infrastruttura della vittima compromettendo e crittografando un singolo sistema fisico, il che significa meno lavoro per gli operatori di ransomware e massimo profitto potenziale.