Des chercheurs en sécurité ont découvert une nouvelle famille de rançongiciels ciblant les systèmes Linux. Appelé Cheerscrypt, le rançongiciel cible les serveurs VMware ESXi. Il est à noter que l'année dernière deux vulnérabilités dans le produit VMWare ESXi ont été inclus dans les attaques d'au moins un important gang de rançongiciels. Ces serveurs ont été ciblés par d'autres familles de ransomwares, Y compris Verrouillage, Ruche, et RansomEXX.
VMware ESXi est une solution de classe entreprise, hyperviseur de type 1 qui serveur spécifiquement des ordinateurs virtuels partageant le même stockage sur disque dur. Trend Micro indique que la nouvelle famille de rançongiciels cible le serveur ESXi d'un client utilisé pour gérer les fichiers VMware, selon leur rapport.
Famille de rançongiciels Cheerscrypt: Ce qui est connu So Far?
Comment se déroule la routine d'infection Cheerscrypt? Une fois que l'infection se produit, les opérateurs de ransomware lancent le crypteur, configuré pour détailler automatiquement les machines virtuelles en cours d'exécution et les arrêter via une commande esxcli spécifique.
Sur le chiffrement, le ransomware localise les fichiers avec .log, .vmdk, .vmem, .vswp, et extensions .vmsn, associé à divers fichiers ESXi, instantanés, et disques virtuels. Les fichiers cryptés reçoivent l'extension .cheers, avec la curieuse spécification que le renommage des fichiers se produit avant le cryptage. Ceci veut dire cela, en cas d'autorisation d'accès refusée pour renommer un fichier, le cryptage échoue. Cependant, le fichier reste renommé.
Quant au cryptage lui-même, il est basé sur une paire de clés publique et privée pour extraire une clé secrète dans le chiffrement de flux SOSEMANUK. Ce chiffrement est intégré dans chaque fichier chiffré, et la clé privée utilisée pour générer le secret est effacée:
Le fichier exécutable de Cheerscrypt contient la clé publique d'une paire de clés correspondante avec la clé privée détenue par l'acteur malveillant. Le ransomware utilise le chiffrement de flux SOSEMANUK pour chiffrer les fichiers et ECDH pour générer la clé SOSEMANUK. Pour chaque fichier à chiffrer, il génère une paire de clés publique-privée ECDH sur la machine via /dev/urandom de Linux. Il utilise ensuite sa clé publique intégrée et la clé privée générée pour créer une clé secrète qui sera utilisée comme clé SOSEMANUK. Après avoir crypté le fichier, il y ajoutera la clé publique générée. Étant donné que la clé privée générée n'est pas enregistrée, on ne peut pas utiliser la clé publique intégrée avec la clé privée générée pour produire la clé secrète. Donc, le déchiffrement n'est possible que si la clé privée de l'acteur malveillant est connue.
Il convient également de noter que les opérateurs du rançongiciel Cheerscrypt s'appuient sur la technique de la double extorsion pour augmenter les chances que les victimes paient la rançon..
En conclusion, ce ransomware est définitivement une menace pour l'entreprise, comme ESXi est largement déployé dans les paramètres d'entreprise pour la virtualisation des serveurs. Les serveurs ESXi ont déjà été compromis par d'autres familles de logiciels malveillants et de rançongiciels, et les cybercriminels chercheront des moyens de "mettre à niveau leur arsenal de logiciels malveillants et de violer autant de systèmes et de plates-formes que possible pour un gain monétaire," les chercheurs conclu.
Exemples de rançongiciels Linux découverts précédemment
Un des plus menaces de rançongiciels courantes pour Linux dans 2021 est DarkRayonnement, un ransomware codé en Bash qui ciblait spécifiquement les distributions Red Hat/CentOS et Debian Linux. Celui qui est derrière ce nouveau ransomware a utilisé "une variété d'outils de piratage pour se déplacer latéralement sur les réseaux des victimes pour déployer un ransomware".,« Trend Micro a déclaré. Les outils de piratage contenaient divers scripts de reconnaissance et d'épandage, exploits spécifiques pour Red Hat et CentOS, et injecteurs binaires, parmi d'autres, dont la plupart à peine détectés dans Virus Total.