Новый Linux-вымогатель Cheerscrypt атакует серверы VMware ESXi

Новый Linux-вымогатель Cheerscrypt атакует серверы VMware ESXi

Подобно другим известным вымогателям Cheerscrypt придерживается тактики двойного вымогательства.

image

Специалисты ИБ-компании Trend Micro недавно обнаружили вредоносную кампанию, в ходе которой злоумышленники заражают серверы VMware ESXi новым вымогательским ПО для Linux под названием Cheerscrypt.

Скомпрометировав сервер VMware ESXi, вымогатели запускают шифровальщик, автоматически пересчитывающий запущенные виртуальные машины и отключающий их с помощью команды esxcli. Благодаря этому Cheerscrypt может успешно шифровать связанные с VMware файлы, добавляя к ним расширение .Cheers. Однако по какой-то странной причине перед шифрованием вредонос переименовывает файлы, поэтому если разрешение на переименование отсутствует, файл не будет зашифрован.

Вымогатель ищет расширения .log, .vmdk, .vmem, .vswp и .vmsn, относящиеся к файлам подкачки, журналов и страниц, а также к виртуальным дискам. Для каждой зашифрованной директории он добавляет записку с требованием выкупа – файл How to Restore Your Files.txt.

В схеме шифрования используются открытый и закрытый ключ для извлечения секретного ключа (потоковый шифр SOSEMANUK), который затем встраивается в каждый шифруемый файл. Закрытый ключ, использовавшийся для создания секретного ключа, стирается.

Подобно другим известным вымогателям Cheerscrypt придерживается тактики двойного вымогательства – требует выкуп за восстановление зашифрованных файлов, угрожая в противном случае опубликовать похищенные у жертвы данные. В записке с требованием выкупа жертве предоставляется ссылка на сайт в сети Tor, где будут идти переговоры о выкупе. Для каждой жертвы создается уникальный сайт, однако URL сайта утечек, где публикуются данные организаций, отказавшихся платить, один и тот же.

Кампания по распространению Cheerscrypt предположительно началась в марте 2022 года. Хотя исследователи пока обнаружили только вариант вредоноса для Linux, скорее всего, вариант для Windows тоже существует.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!