Cheerscrypt Ransomware
Investigadores de ciberseguridad han descubierto una nueva familia de ransomware basada en Linux dirigida a servidores VMware ESXi. Los detalles sobre este malware en particular se revelaron en un informe de Trend Micro, rastreando la amenaza como Cheersrypt o Cheers Ransomware. Cabe señalar que este no es el primer intento malintencionado de explotar los servidores ESXi. Anteriormente, las familias de ransomware como LockBit , Hive y RansomEXX tenían como objetivo los sistemas ESXi, con la intención de extorsionar a las organizaciones afectadas.
Las empresas utilizan ampliamente ESXi para crear y ejecutar máquinas virtuales (VM), mientras comparten el mismo almacenamiento en disco. La amplia adopción por parte de organizaciones de todos los tamaños y ubicaciones geográficas ha convertido a los servidores ESXi en un objetivo lucrativo para las organizaciones de ciberdelincuentes.
Detalles técnicos
Antes de que pueda implementarse por completo en el dispositivo infectado, Cheerscrypt requiere un parámetro de entrada específico que especifica la ruta exacta para el cifrado. Posteriormente, la amenaza implementará y ejecutará un comando para finalizar los procesos de VM que se están ejecutando actualmente a través de ESXCLI. Lo hace para garantizar el cifrado correcto de los archivos relacionados con VMware que, de otro modo, serían inaccesibles. Después de todo, la amenaza apunta específicamente a los archivos con las extensiones '.log', '.vmdk', '.vmem', '.vswp' y '.vmsn'.
Para su rutina de cifrado, Cheerscrypt utiliza una combinación del cifrado de flujo SOSEMANUK y ECDH. Los archivos se cifran con SOSEMANUK, mientras que ECDH se encarga de generar la clave. Cada archivo bloqueado tendrá '.Cheers' añadido a su nombre como una nueva extensión. Una característica peculiar de la amenaza es que modifica los nombres de los archivos antes de iniciar su encriptación.
La nota de rescate de Cheerscrypt revela que sus operadores ciberdelincuentes están ejecutando un esquema de doble extorsión. Además de bloquear los archivos de sus víctimas, los piratas informáticos también afirman haber recopilado información confidencial valiosa de los sistemas violados. Si sus demandas no se cumplen dentro de los 3 días, los actores de amenazas advierten que comenzarán a publicar la información adquirida al público.
