Cheerscrypt Ransomware atakuje serwery VMware ESXi

Cheerscrypt to odmiana oprogramowania ransomware, które zostało zauważone, gdy atakuje serwery VMware ESXi i wykorzystuje typowe podejście do podwójnego wymuszenia, które stało się niemal zwyczajem w przypadku oprogramowania ransomware w ciągu ostatnich lat.

Operatorzy Cheerscrypt najpierw potrzebują podwyższonych uprawnień na serwerze ESXi, aby mogli wykonywać polecenia zdalne. Nie jest zbyt jasne, w jaki sposób uzyskuje się uprzywilejowany dostęp do powłoki, ale gdy cyberprzestępcy go uzyskają, wysyłają polecenie, które wyłącza wszystkie maszyny wirtualne na serwerze. Po zamknięciu procesów maszyny wirtualnej oprogramowanie ransomware rozpoczyna szyfrowanie plików.

Szereg rozszerzeń i typów plików związanych z VMware jest zaszyfrowanych, w tym .vmdk, vmem, .vmsn i .vswp. Zaszyfrowane pliki otrzymują rozszerzenie .Cheers poza oryginalne. Każdy katalog, w którym Cheerscrypt szyfruje pliki, otrzymuje kopię żądania okupu o nazwie „How to Restore Your Files.txt”.

Notatka daje ofiarom 3 dni na zapłacenie okupu i grozi, że skradzione dane zostaną ujawnione online, a żądanie okupu wzrośnie, jeśli płatność nie zostanie dokonana na czas.

Serwery VMware ESXi zostały wyróżnione jako szczególnie lukratywne cele, ponieważ są używane przez wiele dużych korporacji, a cyberprzestępcy mogą wpływać na znaczną część infrastruktury ofiary, naruszając i szyfrując pojedynczy system fizyczny, co oznacza mniej pracy dla operatorów oprogramowania ransomware i maksymalny potencjalny zysk.