Cheerscrypt Ransomware ataca servidores VMware ESXi

O Cheerscrypt é uma variedade de ransomware que foi detectada visando servidores VMware ESXi e usando a abordagem típica de extorsão dupla que se tornou quase habitual em ransomware nos últimos anos.

Os operadores do Cheerscrypt precisam primeiro de privilégios elevados no servidor ESXi para que possam executar comandos remotos. Não está muito claro como o acesso privilegiado ao shell é obtido, mas, uma vez que os agentes da ameaça obtêm isso, eles enviam um comando que desliga todas as máquinas virtuais no servidor. Depois que os processos da VM são encerrados, o ransomware começa a criptografar os arquivos.

Uma variedade de extensões e tipos de arquivos relacionados ao VMware são criptografados, incluindo .vmdk, vmem, .vmsn e .vswp. Arquivos criptografados recebem a extensão .Cheers anexada além da original. Cada diretório que o Cheerscrypt embaralha os arquivos recebe uma cópia da nota de resgate chamada "Como restaurar seus arquivos.txt".

A nota dá às vítimas 3 dias para pagar o resgate e ameaça que os dados roubados sejam vazados online e a demanda de resgate aumentará se o pagamento não for feito a tempo.

Os servidores VMware ESXi foram apontados como alvos particularmente lucrativos porque são usados por várias grandes corporações e os agentes de ameaças podem afetar partes significativas da infraestrutura da vítima ao comprometer e criptografar um único sistema físico, o que significa menos trabalho para os operadores de ransomware e máximo lucro potencial.