Hjem > Cyber ​​Nyheder > Linux-trusselsalarm: VMware ESXi-servere målrettet af Cheerscrypt Ransomware
CYBER NEWS

Linux Threat Alert: VMware ESXi-servere målrettet af Cheerscrypt Ransomware

Linux Threat Alert: VMware ESXi-servere målrettet af Cheerscrypt Ransomware
Sikkerhedsforskere opdagede en ny ransomware-familie, der er rettet mod Linux-systemer. Kaldes Cheerscrypt, ransomwaren er rettet mod VMware ESXi-servere. Det er bemærkelsesværdigt, at sidste år to sårbarheder i VMWare ESXi-produktet var inkluderet i angrebene fra mindst én fremtrædende ransomware-bande. Disse servere er blevet målrettet af andre ransomware-familier, Herunder LockBit, Hive, og RansomEXX.

VMware ESXi er en virksomhedsklasse, type-1 hypervisor, der specifikt serverer virtuelle computere, der deler det samme harddisklager. Trend Micro siger, at den nye ransomware-familie har været rettet mod en kundes ESXi-server, der bruges til at administrere VMware-filer, ifølge deres rapport.




Cheerscrypt Ransomware familie: Hvad der er kendt So Far?

Hvordan foregår Cheerscrypt-infektionsrutinen? Når en infektion forekommer, ransomware-operatørerne starter krypteringen, indstillet til automatisk at specificere de kørende VM'er og lukke dem ned via en specifik esxcli-kommando.

Ved kryptering, ransomwaren lokaliserer filer med .log, .VMDK, .VMEM, .VSWP, og .vmsn-udvidelser, forbundet med forskellige ESXi filer, øjebliksbilleder, og virtuelle diske. Krypterede filer modtager filtypenavnet .cheers, med den mærkelige specifikation, at omdøbning af filerne sker forud for krypteringen. Det betyder at, i tilfælde af nægtet adgang tilladelse til at omdøbe en fil, krypteringen mislykkes. Men, filen forbliver omdøbt.

Hvad angår selve krypteringen, den er baseret på et par offentlige og private nøgler til at udtrække en hemmelig nøgle i SOSEMANUK-strømchifferet. Denne chiffer er indlejret i hver krypteret fil, og den private nøgle, der bruges til at generere hemmeligheden, slettes:

Cheerscrypts eksekverbare fil indeholder den offentlige nøgle af et matchende nøglepar med den private nøgle, der holdes af den ondsindede aktør. Ransomwaren bruger SOSEMANUK stream cipher til at kryptere filer og ECDH til at generere SOSEMANUK nøglen. For hver fil at kryptere, den genererer et ECDH offentlig-privat nøglepar på maskinen gennem Linux's /dev/urandom. Den bruger derefter sin indlejrede offentlige nøgle og den genererede private nøgle til at oprette en hemmelig nøgle, der vil blive brugt som en SOSEMANUK nøgle. Efter kryptering af filen, den vil tilføje den genererede offentlige nøgle til den. Da den genererede private nøgle ikke er gemt, man kan ikke bruge den indlejrede offentlige nøgle med den genererede private nøgle til at producere den hemmelige nøgle. Derfor, dekryptering er kun mulig, hvis den ondsindede aktørs private nøgle er kendt.

Det er også bemærkelsesværdigt, at Cheerscrypt ransomware-operatører er afhængige af dobbeltafpresningsteknikken for at øge chancen for, at ofrene betaler løsesummen.

Afslutningsvis, denne ransomware er bestemt en trussel mod virksomheden, da ESXi er udbredt i virksomhedsindstillinger til servervirtualisering. ESXi-servere er tidligere blevet kompromitteret af andre malware- og ransomware-familier, og cyberkriminelle vil undersøge måder at "opgradere deres malware-arsenal og bryde så mange systemer og platforme, som de kan for økonomisk vinding,”forskerne indgået.

Tidligere opdagede Linux Ransomware-eksempler

En af de mest almindelige ransomware-trusler til Linux i 2021 er DarkRadiation, en ransomware kodet i Bash, der specifikt var målrettet Red Hat/CentOS og Debian Linux-distributioner. Den, der står bag denne nye ransomware, brugte "en række hackingværktøjer til at flytte sideværts på ofrenes netværk for at implementere ransomware,”Sagde Trend Micro. Hackingværktøjerne indeholdt forskellige rekognoscerings- og spreder-scripts, specifikke bedrifter til Red Hat og CentOS, og binære injektorer, blandt andre, hvoraf de fleste knapt blev opdaget i Virus Total.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig