Cheerscryptランサムウェア

VMware ESXiサーバーをターゲットとする新しいLinuxベースのランサムウェアファミリが、サイバーセキュリティ研究者によって発見されました。この特定のマルウェアに関する詳細は、トレンドマイクロによるレポートで明らかにされ、脅威をCheersryptまたはCheersRansomwareとして追跡しています。これは、ESXiサーバーを悪用する最初の悪意のある試みではないことに注意してください。以前は、 LockBit 、 Hive 、 RansomEXXなどのランサムウェアファミリはすべて、影響を受ける組織から金銭を強要することを目的として、ESXiシステムを標的にしていました。

企業は、同じドライブストレージを共有しながら、仮想マシン（VM）の作成と実行にESXiを広く使用しています。あらゆる規模と地理的位置の組織で広く採用されているため、ESXiサーバーはサイバー犯罪組織にとって有利なターゲットとなっています。

技術的な詳細

Cheerscryptは、感染したデバイスに完全に展開する前に、暗号化の正確なパスを指定する特定の入力パラメーターを必要とします。その後、脅威は、ESXCLIを介して現在実行中のVMプロセスを終了するコマンドを実装して実行します。これは、他の方法ではアクセスできない可能性のあるVMware関連ファイルの暗号化を確実に成功させるために行われます。結局のところ、この脅威は、「。log」、「。vmdk」、「。vmem」、「。vswp」、および「.vmsn」拡張子を持つファイルを特に対象としています。

Cheerscryptは、暗号化ルーチンとして、SOSEMANUKストリーム暗号とECDHの組み合わせを利用します。ファイルはSOSEMANUKで暗号化され、ECDHがキーの生成を担当します。ロックされた各ファイルには、新しい拡張子として「.Cheers」が名前に追加されます。この脅威の特有の特徴は、暗号化を開始する前にファイルの名前を変更することです。

Cheerscryptの身代金メモは、そのサイバー犯罪者が二重恐喝スキームを実行していることを明らかにしています。ハッカーは、被害者のファイルをロックするだけでなく、侵害されたシステムから貴重な機密情報を収集したと主張しています。 3日以内に要求が満たされない場合、脅威アクターは、取得した情報を一般に公開し始めることを警告します。