Rançongiciel Cheerscrypt

Une nouvelle famille de ransomware basée sur Linux ciblant les serveurs VMware ESXi a été découverte par des chercheurs en cybersécurité. Des détails sur ce logiciel malveillant particulier ont été révélés dans un rapport de Trend Micro, retraçant la menace sous le nom de Cheersrypt ou Cheers Ransomware. Il convient de noter que ce n'est pas la première tentative irréfléchie d'exploiter les serveurs ESXi. Auparavant, les familles de ransomwares telles que LockBit , Hive et RansomEXX ciblaient toutes les systèmes ESXi, dans le but d'extorquer de l'argent aux organisations concernées.

Les entreprises utilisent largement ESXi pour créer et exécuter des machines virtuelles (VM), tout en partageant le même stockage sur disque. La large adoption par des organisations de toutes tailles et de tous emplacements géographiques a fait des serveurs ESXi une cible lucrative pour les organisations cybercriminelles.

Détails techniques

Avant de pouvoir être entièrement déployé sur l'appareil infecté, Cheerscrypt nécessite un paramètre d'entrée spécifique qui spécifie le chemin exact du cryptage. Ensuite, la menace implémentera et exécutera une commande pour mettre fin aux processus VM en cours d'exécution via ESXCLI. Il le fait pour garantir le chiffrement réussi des fichiers liés à VMware qui pourraient autrement être inaccessibles. Après tout, la menace cible spécifiquement les fichiers avec les extensions '.log,' '.vmdk,' '.vmem,' '.vswp' et '.vmsn'.

Pour sa routine de chiffrement, Cheerscrypt utilise une combinaison du chiffrement de flux SOSEMANUK et ECDH. Les fichiers sont cryptés avec SOSEMANUK, tandis que l'ECDH est responsable de la génération de la clé. Chaque fichier verrouillé aura '.Cheers' ajouté à son nom en tant que nouvelle extension. Une caractéristique particulière de la menace est qu'elle modifie les noms des fichiers avant de commencer leur cryptage.

La note de rançon de Cheerscrypt révèle que ses opérateurs cybercriminels exécutent un système de double extorsion. Outre le verrouillage des fichiers de leurs victimes, les pirates prétendent également avoir collecté des informations confidentielles précieuses à partir des systèmes piratés. Si leurs demandes ne sont pas satisfaites dans les 3 jours, les acteurs de la menace avertissent qu'ils commenceront à publier les informations acquises au public.