I ricercatori di sicurezza hanno scoperto una nuova famiglia di ransomware che prende di mira i sistemi Linux. Chiamato Cheerscrypt, il ransomware prende di mira i server VMware ESXi. È interessante notare che l'anno scorso due vulnerabilità nel prodotto VMWare ESXi sono stati inclusi negli attacchi di almeno un importante gruppo di ransomware. Questi server sono stati presi di mira da altre famiglie di ransomware, Compreso LockBit, Alveare, e RansomEXX.
VMware ESXi è una classe enterprise, hypervisor di tipo 1 che server specificamente computer virtuali che condividono lo stesso spazio di archiviazione su disco rigido. Trend Micro afferma che la nuova famiglia di ransomware ha preso di mira il server ESXi di un cliente utilizzato per gestire i file VMware, come da loro rapporto.
Famiglia di ransomware Cheerscrypt: Quello che si sa finora?
Come avviene la routine di infezione di Cheerscrypt? Una volta che si verifica un'infezione, gli operatori di ransomware avviano il crittografo, impostato per dettagliare automaticamente le VM in esecuzione e spegnerle tramite uno specifico comando esxcli.
Al momento la crittografia, il ransomware individua i file con estensione .log, .vmdk, .vmem, .vswp, ed estensioni .vmsn, associati a vari file ESXi, istantanee, e dischi virtuali. I file crittografati ricevono l'estensione .cheers, con la curiosa specifica che la ridenominazione dei file avviene prima della crittografia. Ciò significa che, in caso di autorizzazione di accesso negata per rinominare un file, la crittografia fallisce. Tuttavia, il file rimane rinominato.
Per quanto riguarda la crittografia stessa, si basa su una coppia di chiavi pubbliche e private per estrarre una chiave segreta nel codice di flusso SOSEMANUK. Questa cifra è incorporata in ogni file crittografato, e la chiave privata utilizzata per generare il segreto viene cancellata:
Il file eseguibile di Cheerscrypt contiene la chiave pubblica di una coppia di chiavi corrispondente con la chiave privata detenuta dall'attore malintenzionato. Il ransomware utilizza il codice di flusso SOSEMANUK per crittografare i file e ECDH per generare la chiave SOSEMANUK. Per ogni file da crittografare, genera una coppia di chiavi pubblica-privata ECDH sulla macchina tramite /dev/urandom di Linux. Quindi utilizza la sua chiave pubblica incorporata e la chiave privata generata per creare una chiave segreta che verrà utilizzata come chiave SOSEMANUK. Dopo aver crittografato il file, aggiungerà la chiave pubblica generata ad esso. Poiché la chiave privata generata non viene salvata, non è possibile utilizzare la chiave pubblica incorporata con la chiave privata generata per produrre la chiave segreta. Pertanto, la decrittazione è possibile solo se la chiave privata dell'attore malintenzionato è nota.
È anche interessante notare che gli operatori di ransomware Cheerscrypt si affidano alla tecnica della doppia estorsione per aumentare le possibilità che le vittime paghino il riscatto.
Insomma, questo ransomware è sicuramente una minaccia per le imprese, poiché ESXi è ampiamente distribuito nelle impostazioni aziendali per la virtualizzazione dei server. I server ESXi sono stati precedentemente compromessi da altre famiglie di malware e ransomware, e i criminali informatici cercheranno modi per "aggiornare il loro arsenale di malware e violare il maggior numero possibile di sistemi e piattaforme a scopo di lucro,”i ricercatori concluso.
Esempi di ransomware Linux scoperti in precedenza
Uno dei più minacce ransomware comuni per Linux in 2021 è DarkRadiation, un ransomware codificato in Bash che prendeva di mira specificamente le distribuzioni Red Hat/CentOS e Debian Linux. Chiunque sia dietro questo nuovo ransomware ha utilizzato "una varietà di strumenti di hacking per spostarsi lateralmente sulle reti delle vittime per distribuire il ransomware,"Trend Micro ha detto. Gli strumenti di hacking contenevano vari script di ricognizione e diffusione, exploit specifici per Red Hat e CentOS, e iniettori binari, tra gli altri, la maggior parte dei quali è stata rilevata a malapena in Virus Total.