Cheerscrypt 勒索软件攻击 VMware ESXi 服务器
Cheerscrypt 是一种勒索软件,被发现针对 VMware ESXi 服务器并使用典型的双重勒索方法,这种方法在过去几年中几乎成为勒索软件的惯例。
Cheerscrypt 操作员首先需要提升 ESXi 服务器上的权限,以便他们可以执行远程命令。目前还不清楚如何获得特权 shell 访问,但一旦威胁者获得了特权,他们就会发送一个命令来关闭服务器上的所有虚拟机。一旦关闭 VM 进程,勒索软件就会开始加密文件。
与 VMware 相关的一系列扩展名和文件类型已加密,包括 .vmdk、vmem、.vmsn 和 .vswp。加密文件会在原始文件之外附加 .Cheers 扩展名。 Cheerscrypt 对文件进行加扰的每个目录都会获得一份名为“How to Restore Your Files.txt”的赎金记录副本。
该说明给受害者 3 天支付赎金,并威胁被盗数据将在网上泄露,如果不按时付款,赎金需求将会增加。
VMware ESXi 服务器已被列为特别有利可图的目标,因为它们被许多大公司使用,并且威胁行为者可以通过破坏和加密单个物理系统来影响受害者基础架构的重要部分,这意味着勒索软件运营商的工作量更少,并且最大的潜在利润。