Cheerscrypt Ransomware užpuola VMware ESXi serverius

Cheerscrypt yra išpirkos reikalaujančios programinės įrangos atmaina, kuri buvo pastebėta nukreipta į VMware ESXi serverius ir naudojant tipišką dvigubo turto prievartavimo metodą, kuris pastaraisiais metais tapo beveik įprastas išpirkos reikalaujančiose programose.

Cheerscrypt operatoriams pirmiausia reikia didesnių ESXi serverio privilegijų, kad jie galėtų vykdyti nuotolines komandas. Nelabai aišku, kaip įgyjama privilegijuota apvalkalo prieiga, tačiau kai grėsmės veikėjai tai turi, jie siunčia komandą, kuri išjungia visas virtualias mašinas serveryje. Kai VM procesai išjungiami, išpirkos reikalaujanti programa pradeda šifruoti failus.

Užšifruoti įvairūs plėtiniai ir failų tipai, susiję su VMware, įskaitant .vmdk, vmem, .vmsn ir .vswp. Užšifruotiems failams pridedamas .Cheers plėtinys, o ne pradinis. Kiekvienas „Cheerscrypt“ katalogas, kuriame yra koduojami failai, gauna išpirkos raštelio „Kaip atkurti failus.txt“ kopiją.

Raštelyje aukoms suteikiamos 3 dienos išpirkai sumokėti ir grasinama, kad pavogti duomenys bus nutekinti internete, o išpirkos paklausa padidės, jei laiku nesumokėsite.

„VMware ESXi“ serveriai buvo išskirti kaip ypač pelningi tikslai, nes juos naudoja daugybė didelių korporacijų, o grėsmės veikėjai gali paveikti didelę aukos infrastruktūros dalį, sukompromituodami ir užšifruodami vieną fizinę sistemą, o tai reiškia mažiau darbo išpirkos reikalaujančių programų operatoriams ir maksimalus galimas pelnas.