Pesquisadores de segurança descobriram uma nova família de ransomware que tem como alvo sistemas Linux. Chamado Cheerscrypt, o ransomware tem como alvo servidores VMware ESXi. Vale ressaltar que no ano passado duas vulnerabilidades no produto VMWare ESXi foram incluídos nos ataques de pelo menos uma gangue de ransomware proeminente. Esses servidores foram alvos de outras famílias de ransomware, Incluindo LockBit, Colmeia, e RansomEXX.
VMware ESXi é um software de classe empresarial, hipervisor tipo 1 que atende especificamente computadores virtuais que compartilham o mesmo armazenamento em disco rígido. Trend Micro diz que a nova família de ransomware tem como alvo o servidor ESXi de um cliente usado para gerenciar arquivos VMware, conforme seu relatório.
Família Cheerscrypt Ransomware: O que se sabe até agora?
Como ocorre a rotina de infecção do Cheerscrypt? Assim que ocorre uma infecção, os operadores de ransomware iniciam o criptografador, definido para detalhar automaticamente as VMs em execução e desligá-las por meio de um comando esxcli específico.
Após a criptografia, o ransomware localiza arquivos com .log, .vmdk, .Vmem, .vswp, e extensões .vmsn, associado a vários arquivos ESXi, instantâneos, e discos virtuais. Arquivos criptografados recebem a extensão .cheers, com a curiosa especificação de que a renomeação dos arquivos acontece antes da criptografia. Isso significa que, em caso de permissão de acesso negada para renomear um arquivo, a criptografia falha. Contudo, o arquivo continua renomeado.
Quanto à criptografia em si, é baseado em um par de chaves públicas e privadas para extrair uma chave secreta na cifra de fluxo SOSEMANUK. Esta cifra é incorporada em cada arquivo criptografado, e a chave privada usada para gerar o segredo é apagada:
O arquivo executável do Cheerscrypt contém a chave pública de um par de chaves correspondente com a chave privada mantida pelo agente malicioso. O ransomware usa a cifra de fluxo SOSEMANUK para criptografar arquivos e ECDH para gerar a chave SOSEMANUK. Para cada arquivo para criptografar, ele gera um par de chaves público-privadas ECDH na máquina através do /dev/urandom do Linux. Em seguida, ele usa sua chave pública incorporada e a chave privada gerada para criar uma chave secreta que será usada como chave SOSEMANUK. Depois de criptografar o arquivo, ele anexará a chave pública gerada a ele. Como a chave privada gerada não é salva, não se pode usar a chave pública incorporada com a chave privada gerada para produzir a chave secreta. Portanto, a descriptografia só é possível se a chave privada do agente mal-intencionado for conhecida.
Vale ressaltar também que os operadores de ransomware Cheerscrypt contam com a técnica de dupla extorsão para aumentar a chance das vítimas pagarem o resgate.
Em conclusão, este ransomware é definitivamente uma ameaça para a empresa, como o ESXi é amplamente implantado em configurações corporativas para virtualização de servidores. Os servidores ESXi foram comprometidos anteriormente por outras famílias de malware e ransomware, e os cibercriminosos estarão procurando maneiras de “atualizar seu arsenal de malware e violar o maior número possível de sistemas e plataformas para obter ganhos monetários," Os pesquisadores concluiu.
Amostras de Ransomware Linux Descobertos Anteriormente
Um dos mais ameaças comuns de ransomware para Linux em 2021 é DarkRadiation, um ransomware codificado em Bash que visava especificamente as distribuições Red Hat/CentOS e Debian Linux. Quem está por trás desse novo ransomware usou “uma variedade de ferramentas de hackers para se mover lateralmente nas redes das vítimas para implantar o ransomware,”Trend Micro disse. As ferramentas de hacking continham vários scripts de reconhecimento e espalhamento, exploits específicos para Red Hat e CentOS, e injetores binários, entre outros, a maioria dos quais mal detectados no Virus Total.