Программа-вымогатель Cheerscrypt атакует серверы VMware ESXi

Cheerscrypt — это разновидность программы-вымогателя, которая была замечена в атаке на серверы VMware ESXi и использует типичный подход двойного вымогательства, ставший почти обычным для программ-вымогателей за последние годы.

Операторам Cheerscrypt сначала нужны повышенные привилегии на сервере ESXi, чтобы они могли выполнять удаленные команды. Не совсем понятно, как получить привилегированный доступ к оболочке, но как только субъекты угрозы получают его, они отправляют команду, которая отключает все виртуальные машины на сервере. Как только процессы виртуальной машины останавливаются, программа-вымогатель начинает шифровать файлы.

Зашифрован ряд расширений и типов файлов, связанных с VMware, включая .vmdk, vmem, .vmsn и .vswp. К зашифрованным файлам добавляется расширение .Cheers помимо исходного. Каждый каталог, в который Cheerscrypt зашифровывает файлы, получает копию записки о выкупе под названием «Как восстановить ваши файлы.txt».

В записке жертвам дается 3 дня на выплату выкупа, а также содержится угроза утечки украденных данных в сеть и увеличения спроса на выкуп, если платеж не будет произведен вовремя.

Серверы VMware ESXi были выделены в качестве особенно прибыльных целей, поскольку они используются рядом крупных корпораций, а злоумышленники могут повлиять на значительные части инфраструктуры жертвы, взламывая и шифруя одну физическую систему, что означает меньше работы для операторов программ-вымогателей и максимально возможная прибыль.