Cheerscrypt Ransomware-aanvallen VMware ESXi-servers

Cheerscrypt is een vorm van ransomware die werd gespot op VMware ESXi-servers en met behulp van de typische dubbele afpersingsaanpak die de afgelopen jaren bijna gebruikelijk is geworden bij ransomware.

Cheerscrypt-operators hebben eerst verhoogde privileges nodig op de ESXi-server, zodat ze externe opdrachten kunnen uitvoeren. Het is niet zo duidelijk hoe geprivilegieerde shell-toegang wordt verkregen, maar zodra de bedreigingsactoren die hebben, sturen ze een commando dat alle virtuele machines op de server afsluit. Zodra de VM-processen zijn afgesloten, begint de ransomware de bestanden te versleutelen.

Een reeks aan VMware gerelateerde extensies en bestandstypen zijn versleuteld, waaronder .vmdk, vmem, .vmsn en .vswp. Gecodeerde bestanden krijgen de .Cheers-extensie toegevoegd naast hun oorspronkelijke. Elke map waarin Cheerscrypt bestanden versleutelt, krijgt een kopie van de losgeldbrief genaamd "Hoe u uw bestanden kunt herstellen.txt".

De notitie geeft slachtoffers 3 dagen om het losgeld te betalen en dreigt dat gestolen gegevens online worden gelekt en dat de vraag naar losgeld zal toenemen als de betaling niet op tijd wordt gedaan.

VMware ESXi-servers zijn uitgekozen als bijzonder lucratieve doelen omdat ze worden gebruikt door een aantal grote bedrijven en de bedreigingsactoren aanzienlijke delen van de infrastructuur van het slachtoffer kunnen beïnvloeden door een enkel fysiek systeem te compromitteren en te versleutelen, wat minder werk betekent voor de ransomware-operators en maximale potentiële winst.