Beveiligingsonderzoekers hebben een nieuwe ransomware-familie ontdekt die zich richt op Linux-systemen. Cheerscrypt genaamd, de ransomware richt zich op VMware ESXi-servers. Opmerkelijk is dat vorig jaar twee kwetsbaarheden in het VMWare ESXi-product waren betrokken bij de aanvallen van ten minste één prominente ransomwarebende. Deze servers zijn het doelwit van andere ransomware-families, Inclusief LockBit, Bijenkorf, en RansomEXX.
VMware ESXi is een enterprise-class, type-1 hypervisor die specifiek virtuele computers bedient die dezelfde opslag op de harde schijf delen. Trend Micro zegt dat de nieuwe ransomware-familie zich heeft gericht op de ESXi-server van een klant die wordt gebruikt om VMware-bestanden te beheren, volgens hun rapport.
Cheerscrypt Ransomware Familie: Wat is er bekend So Far?
Hoe vindt de Cheerscrypt-infectieroutine plaats?? Zodra een infectie optreedt, de ransomware-operators starten de encrypter, ingesteld om automatisch de actieve VM's te specificeren en ze af te sluiten via een specifiek esxcli-commando.
Bij encryptie, de ransomware lokaliseert bestanden met .log, .VMDK, .VMEM, .VSWP, en .vmsn extensies, geassocieerd met verschillende ESXi-bestanden, snapshots, en virtuele schijven. Versleutelde bestanden krijgen de extensie .cheers, met de merkwaardige specificatie dat het hernoemen van de bestanden plaatsvindt voorafgaand aan de codering. Dit betekent dat, in geval van geweigerde toegang toestemming om een bestand te hernoemen, de codering mislukt. Echter, het bestand blijft hernoemd.
Wat betreft de codering zelf, het is gebaseerd op een paar openbare en privésleutels om een geheime sleutel te extraheren in het SOSEMANUK-stroomcijfer. Dit cijfer is ingesloten in elk versleuteld bestand, en de privésleutel die wordt gebruikt voor het genereren van het geheim wordt gewist:
Het uitvoerbare bestand van Cheerscrypt bevat de openbare sleutel van een overeenkomend sleutelpaar met de privésleutel die in het bezit is van de kwaadwillende actor. De ransomware gebruikt SOSEMANUK-stroomcodering om bestanden te versleutelen en ECDH om de SOSEMANUK-sleutel te genereren. Voor elk te versleutelen bestand, het genereert een ECDH publiek-privaat sleutelpaar op de machine via Linux's /dev/urandom. Vervolgens gebruikt het zijn ingesloten openbare sleutel en de gegenereerde privésleutel om een geheime sleutel te maken die zal worden gebruikt als een SOSEMANUK-sleutel. Na het versleutelen van het bestand, het zal de gegenereerde openbare sleutel eraan toevoegen. Aangezien de gegenereerde privésleutel niet wordt opgeslagen, men kan de ingebedde openbare sleutel niet gebruiken met de gegenereerde privésleutel om de geheime sleutel te produceren. Daarom, decodering is alleen mogelijk als de privésleutel van de kwaadwillende actor bekend is.
Het is ook opmerkelijk dat Cheerscrypt ransomware-operators vertrouwen op de dubbele afpersingstechniek om de kans te vergroten dat slachtoffers het losgeld betalen.
Tenslotte, deze ransomware is absoluut een bedreiging voor ondernemingen, aangezien ESXi breed wordt ingezet in bedrijfsinstellingen voor servervirtualisatie. ESXi-servers zijn eerder gecompromitteerd door andere malware- en ransomware-families, en cybercriminelen zullen manieren zoeken om "hun malware-arsenaal te upgraden en zoveel mogelijk systemen en platforms te doorbreken voor geldelijk gewin," de onderzoekers gesloten.
Eerder ontdekte Linux Ransomware-voorbeelden
Een van de meest veelvoorkomende ransomware-bedreigingen voor Linux in 2021 is DarkRadiation, een ransomware gecodeerd in Bash die specifiek gericht was op Red Hat/CentOS en Debian Linux-distributies. Degene die achter deze nieuwe ransomware zit, gebruikte "een verscheidenheid aan hacktools om lateraal op de netwerken van slachtoffers te bewegen om ransomware te implementeren".,"Trend Micro zei:". De hacktools bevatten verschillende verkennings- en spreaderscripts, specifieke exploits voor Red Hat en CentOS, en binaire injectoren, onder andere, waarvan de meeste nauwelijks gedetecteerd in Virus Total.