Los investigadores de seguridad descubrieron una nueva familia de ransomware que se dirige a los sistemas Linux. Llamado Cheerscrypt, el ransomware se dirige a los servidores VMware ESXi. Cabe destacar que el año pasado dos vulnerabilidades en el producto VMWare ESXi se incluyeron en los ataques de al menos una destacada banda de ransomware. Estos servidores han sido atacados por otras familias de ransomware, Incluido LockBit, Colmena, y RansomEXX.
VMware ESXi es una clase empresarial, hipervisor tipo 1 que sirve específicamente a computadoras virtuales que comparten el mismo almacenamiento en el disco duro. Trend Micro dice que la nueva familia de ransomware ha estado apuntando al servidor ESXi de un cliente utilizado para administrar archivos de VMware, según su informe.
Familia de ransomware Cheerscrypt: Lo que se sabe hasta ahora?
Cómo se lleva a cabo la rutina de infección de Cheerscrypt? Una vez que se produce una infección, los operadores de ransomware inician el encriptador, configurado para detallar automáticamente las máquinas virtuales en ejecución y apagarlas mediante un comando esxcli específico.
Tras el cifrado, el ransomware localiza archivos con .log, .vmdk, .vmem, .VSWP, y extensiones .vmsn, asociado con varios archivos ESXi, instantáneas, y discos virtuales. Los archivos cifrados reciben la extensión .cheers, con la curiosa especificación de que el cambio de nombre de los archivos ocurre antes del cifrado. Esto significa que, en caso de permiso de acceso denegado para cambiar el nombre de un archivo, el cifrado falla. Sin embargo, el archivo permanece renombrado.
En cuanto al cifrado en sí, se basa en un par de claves públicas y privadas para extraer una clave secreta en el cifrado de flujo SOSEMANUK. Este cifrado está incrustado en cada archivo cifrado., y la clave privada utilizada para generar el secreto se borra:
El archivo ejecutable de Cheerscrypt contiene la clave pública de un par de claves coincidentes con la clave privada en poder del actor malicioso.. El ransomware utiliza el cifrado de flujo SOSEMANUK para cifrar archivos y ECDH para generar la clave SOSEMANUK. Para cada archivo a cifrar, genera un par de claves públicas-privadas ECDH en la máquina a través de /dev/urandom de Linux. A continuación, utiliza su clave pública incrustada y la clave privada generada para crear una clave secreta que se utilizará como clave SOSEMANUK.. Después de cifrar el archivo, le agregará la clave pública generada. Dado que la clave privada generada no se guarda, uno no puede usar la clave pública incrustada con la clave privada generada para producir la clave secreta. Por lo tanto, el descifrado solo es posible si se conoce la clave privada del actor malintencionado.
También cabe destacar que los operadores del ransomware Cheerscrypt confían en la técnica de doble extorsión para aumentar las posibilidades de que las víctimas paguen el rescate..
En conclusión, este ransomware es definitivamente una amenaza para la empresa, ya que ESXi se implementa ampliamente en entornos empresariales para la virtualización de servidores. Los servidores ESXi se han visto comprometidos previamente por otras familias de malware y ransomware, y los ciberdelincuentes buscarán formas de "actualizar su arsenal de malware y violar tantos sistemas y plataformas como puedan para obtener ganancias monetarias".," los investigadores concluido.
Ejemplos de ransomware de Linux descubiertos anteriormente
uno de los mas amenazas de ransomware comunes para Linux en 2021 es DarkRadiation, un ransomware codificado en Bash que se dirigía específicamente a las distribuciones Red Hat/CentOS y Debian Linux. Quienquiera que esté detrás de este nuevo ransomware usó "una variedad de herramientas de piratería para moverse lateralmente en las redes de las víctimas para implementar ransomware".,"Trend Micro dijo. Las herramientas de piratería contenían varios scripts de reconocimiento y difusión., exploits específicos para Red Hat y CentOS, e inyectores binarios, entre otros, la mayoría de los cuales apenas se detectan en Virus Total.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: