Το νέο ransomware «Cheers», έκανε για πρώτη φορά την εμφάνισή του στον χώρο του κυβερνοεγκλήματος, στοχεύοντας ευάλωτους διακομιστές VMware ESXi.
Δείτε επίσης: Microsoft: Τεράστια αύξηση της δραστηριότητας του Linux XorDDoS malware
Το VMware ESXi είναι μια πλατφόρμα εικονικοποίησης, που χρησιμοποιείται συνήθως από μεγάλους οργανισμούς σε όλο τον κόσμο, επομένως μία επίθεση που περιλαμβάνει κρυπτογράφηση, προκαλεί συνήθως σοβαρή αναστάτωση στις λειτουργίες μιας επιχείρησης.
Κι άλλες ομάδες ransomware έχουν στοχεύσει την πλατφόρμα VMware ESXi στο παρελθόν, με τις πιο πρόσφατες να είναι οι LockBit και Hive.
Το Cheers ransomware, ανακαλύφθηκε από αναλυτές της Trend Micro, οι οποίοι αποκαλούν τη νέα παραλλαγή «Cheerscrypt». Μόλις παραβιαστεί ένας διακομιστής VMware ESXi, οι κακόβουλοι παράγοντες εκκινούν τον κρυπτογραφητή, ο οποίος θα απαριθμήσει αυτόματα τις εικονικές μηχανές που τρέχουν και θα τις τερματίσει χρησιμοποιώντας μία εντολή esxcli.
Κατά την κρυπτογράφηση αρχείων, αναζητά συγκεκριμένα αρχεία με επεκτάσεις .log, .vmdk, .vmem, .vswp και .vmsn. Αυτές οι επεκτάσεις αρχείων συσχετίζονται με στιγμιότυπα ESXi, αρχεία καταγραφής, αρχεία ανταλλαγής, αρχεία σελιδοποίησης και εικονικούς δίσκους.
Δείτε ακόμα: Linux: Τα Chromebook είναι ιδανικά για να μάθετε το λειτουργικό σύστημα
Κάθε κρυπτογραφημένο αρχείο θα έχει την επέκταση «.Cheers» προσαρτημένη στο όνομα του αρχείου του. Παραδόξως, η μετονομασία των αρχείων γίνεται πριν από την κρυπτογράφηση, επομένως εάν δεν επιτρέπεται η πρόσβαση για μετονομασία ενός αρχείου, η κρυπτογράφηση θα αποτύχει, αλλά το αρχείο θα έχει μετονομαστεί.
Το σχήμα κρυπτογράφησης χρησιμοποιεί ένα ζεύγος δημόσιων και ιδιωτικών κλειδιών για την εξαγωγή ενός μυστικού κλειδιού (κρυπτογράφηση ροής SOSEMANUK) και το ενσωματώνει σε κάθε κρυπτογραφημένο αρχείο. Το ιδιωτικό κλειδί που χρησιμοποιείται για τη δημιουργία του μυστικού κλειδιού διαγράφεται για να αποτραπεί η ανάκτηση.
Κατά τη σάρωση φακέλων για αρχεία προς κρυπτογράφηση, το ransomware θα δημιουργήσει σημειώματα λύτρων με το όνομα “How To Restore Your Files.txt” σε κάθε φάκελο.
Τα σημειώματα περιλαμβάνουν πληροφορίες σχετικά με το τι συνέβη στα αρχεία του θύματος και συνδέσμους προς τους ιστότοπους διαρροής δεδομένων Tor της ομάδας και τους ιστότοπους διαπραγμάτευσης λύτρων. Κάθε θύμα έχει έναν μοναδικό ιστότοπο Tor για τις διαπραγματεύσεις του, αλλά η διεύθυνση URL του ιστότοπου διαρροής δεδομένων Onion είναι στατική.
Δείτε επίσης: Οι πτήσεις της SpiceJet επηρεάστηκαν από μια επίθεση ransomware
Ενώ μέχρι σήμερα έχει βρεθεί μόνο μια παραλλαγή του ransomware για συστήματα Linux, πιθανότατα υπάρχει και μια παραλλαγή για Windows διαθέσιμη.
Το Cheers εκτελεί εξαγωγή δεδομένων κατά τη διάρκεια των επιθέσεων και χρησιμοποιεί τα κλεμμένα δεδομένα σε επιθέσεις διπλού εκβιασμού. Από τα σημειώματα λύτρων, φαίνεται ότι οι hackers δίνουν στα θύματά τους τρεις ημέρες πρόσβασης στον παρεχόμενο ιστότοπο Tor για να διαπραγματευτούν την πληρωμή λύτρων με αντάλλαγμα ένα λειτουργικό κλειδί αποκρυπτογράφησης.
Εάν τα θύματα δεν πληρώσουν τα λύτρα, οι hackers λένε ότι θα πουλήσουν τα κλεμμένα δεδομένα τους σε άλλους απατεώνες.
