CheerscryptランサムウェアがVMwareESXiサーバーを攻撃
Cheerscryptは、VMware ESXiサーバーを標的とし、過去数年間でランサムウェアでほぼ慣例となっている典型的な二重恐喝アプローチを使用して発見されたランサムウェアの一種です。
Cheerscryptオペレーターは、リモートコマンドを実行できるように、最初にESXiサーバーで昇格された特権を必要とします。特権シェルアクセスがどのように取得されるかはあまり明確ではありませんが、脅威アクターがそれを取得すると、サーバー上のすべての仮想マシンをシャットダウンするコマンドを送信します。 VMプロセスがシャットダウンされると、ランサムウェアはファイルの暗号化を開始します。
.vmdk、vmem、.vmsn、.vswpなど、VMwareに関連するさまざまな拡張子とファイルタイプが暗号化されます。暗号化されたファイルには、元の拡張子に加えて.Cheers拡張子が追加されます。 Cheerscryptがファイルをスクランブルするすべてのディレクトリは、「Files.txtを復元する方法」と呼ばれる身代金メモのコピーを取得します。
このメモは、被害者に身代金の支払いに3日間の猶予を与え、盗まれたデータがオンラインで漏洩し、支払いが時間どおりに行われない場合、身代金の需要が高まると脅迫しています。
VMware ESXiサーバーは、多くの大企業で使用されており、攻撃者が単一の物理システムを危険にさらして暗号化することで被害者のインフラストラクチャのかなりの部分に影響を与える可能性があるため、特に収益性の高いターゲットとして選ばれています。最大の潜在的利益。