Sicherheitsforscher entdeckten eine neue Ransomware-Familie, die auf Linux-Systeme abzielt. Genannt Cheerscrypt, Die Ransomware zielt auf VMware ESXi-Server ab. Es ist bemerkenswert, dass im vergangenen Jahr zwei Schwachstellen im VMWare ESXi-Produkt waren in die Angriffe mindestens einer prominenten Ransomware-Bande verwickelt. Diese Server wurden von anderen Ransomware-Familien angegriffen, Inklusive LockBit, Bienenstock, und RansomEXX.
VMware ESXi ist eine Enterprise-Klasse, Typ-1-Hypervisor, der speziell virtuelle Computer bedient, die sich denselben Festplattenspeicher teilen. Laut Trend Micro zielt die neue Ransomware-Familie auf den ESXi-Server eines Kunden ab, der zur Verwaltung von VMware-Dateien verwendet wird, nach ihrem Bericht.
Cheerscrypt-Ransomware-Familie: Was ist bis jetzt bekannt?
Wie läuft die Cheerscrypt-Infektionsroutine ab?? Sobald eine Infektion auftritt, die Ransomware-Operatoren initiieren den Verschlüsseler, set, um die ausgeführten VMs automatisch aufzulisten und sie über einen bestimmten esxcli-Befehl herunterzufahren.
Bei der Verschlüsselung, Die Ransomware findet Dateien mit .log, .vmdk, .vmem, .VSWP, und .vmsn-Erweiterungen, mit verschiedenen ESXi-Dateien verknüpft, Schnappschüsse, und virtuelle Laufwerke. Verschlüsselte Dateien erhalten die Erweiterung .cheers, mit der kuriosen Angabe, dass die Umbenennung der Dateien vor der Verschlüsselung erfolgt. Das bedeutet, dass, im Falle einer verweigerten Zugriffserlaubnis, eine Datei umzubenennen, die Verschlüsselung schlägt fehl. Jedoch, die Datei bleibt umbenannt.
Was die Verschlüsselung an sich betrifft, Es basiert auf einem Paar öffentlicher und privater Schlüssel, um einen geheimen Schlüssel in der SOSEMANUK-Stream-Chiffre zu extrahieren. Diese Chiffre ist in jede verschlüsselte Datei eingebettet, und der zum Generieren des Geheimnisses verwendete private Schlüssel wird gelöscht:
Die ausführbare Datei von Cheerscrypt enthält den öffentlichen Schlüssel eines übereinstimmenden Schlüsselpaars mit dem privaten Schlüssel, der im Besitz des böswilligen Akteurs ist. Die Ransomware verwendet die SOSEMANUK-Stream-Chiffre zum Verschlüsseln von Dateien und ECDH zum Generieren des SOSEMANUK-Schlüssels. Für jede zu verschlüsselnde Datei, Es generiert ein öffentlich-privates ECDH-Schlüsselpaar auf dem Computer über /dev/urandom von Linux. Anschließend verwendet es seinen eingebetteten öffentlichen Schlüssel und den generierten privaten Schlüssel, um einen geheimen Schlüssel zu erstellen, der als SOSEMANUK-Schlüssel verwendet wird. Nach dem Verschlüsseln der Datei, es wird den generierten öffentlichen Schlüssel daran anhängen. Da der generierte private Schlüssel nicht gespeichert wird, man kann den eingebetteten öffentlichen Schlüssel nicht mit dem generierten privaten Schlüssel verwenden, um den geheimen Schlüssel zu erzeugen. Deshalb, eine Entschlüsselung ist nur möglich, wenn der private Schlüssel des Angreifers bekannt ist.
Es ist auch bemerkenswert, dass die Betreiber der Cheerscrypt-Ransomware auf die Technik der doppelten Erpressung setzen, um die Wahrscheinlichkeit zu erhöhen, dass die Opfer das Lösegeld zahlen.
Abschließend, Diese Ransomware ist definitiv eine Bedrohung für Unternehmen, da ESXi in Unternehmenseinstellungen für die Servervirtualisierung weit verbreitet ist. ESXi-Server wurden zuvor von anderen Malware- und Ransomware-Familien kompromittiert, und Cyberkriminelle werden nach Möglichkeiten suchen, „ihr Malware-Arsenal zu aktualisieren und so viele Systeme und Plattformen wie möglich zu durchbrechen, um Geld zu verdienen," die Forscher abgeschlossen.
Zuvor entdeckte Linux-Ransomware-Beispiele
Einer der meisten häufige Ransomware-Bedrohungen für Linux in 2021 ist DarkRadiation, eine in Bash codierte Ransomware, die speziell auf Red Hat/CentOS- und Debian-Linux-Distributionen abzielte. Wer auch immer hinter dieser neuen Ransomware steckt, hat „eine Vielzahl von Hacking-Tools verwendet, um sich seitlich in den Netzwerken der Opfer zu bewegen und Ransomware einzusetzen,” Trend Micro sagte. Die Hacking-Tools enthielten verschiedene Aufklärungs- und Spreader-Skripte, spezifische Exploits für Red Hat und CentOS, und binäre Injektoren, unter anderem, die meisten davon wurden in Virus Total kaum entdeckt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: