Новый Linux-вымогатель Cheerscrypt атакует серверы VMware ESXi

Специалисты ИБ-компании Trend Micro недавно обнаружили вредоносную кампанию, в ходе которой злоумышленники заражают серверы VMware ESXi новым вымогательским ПО для Linux под названием Cheerscrypt.

Скомпрометировав сервер VMware ESXi, вымогатели запускают шифровальщик, автоматически пересчитывающий запущенные виртуальные машины и отключающий их с помощью команды esxcli. Благодаря этому Cheerscrypt может успешно шифровать связанные с VMware файлы, добавляя к ним расширение .Cheers. Однако по какой-то странной причине перед шифрованием вредонос переименовывает файлы, поэтому если разрешение на переименование отсутствует, файл не будет зашифрован.

Вымогатель ищет расширения .log, .vmdk, .vmem, .vswp и .vmsn, относящиеся к файлам подкачки, журналов и страниц, а также к виртуальным дискам. Для каждой зашифрованной директории он добавляет записку с требованием выкупа – файл How to Restore Your Files.txt.

В схеме шифрования используются открытый и закрытый ключ для извлечения секретного ключа (потоковый шифр SOSEMANUK), который затем встраивается в каждый шифруемый файл. Закрытый ключ, использовавшийся для создания секретного ключа, стирается.

Подобно другим известным вымогателям Cheerscrypt придерживается тактики двойного вымогательства – требует выкуп за восстановление зашифрованных файлов, угрожая в противном случае опубликовать похищенные у жертвы данные. В записке с требованием выкупа жертве предоставляется ссылка на сайт в сети Tor, где будут идти переговоры о выкупе. Для каждой жертвы создается уникальный сайт, однако URL сайта утечек, где публикуются данные организаций, отказавшихся платить, один и тот же.

Кампания по распространению Cheerscrypt предположительно началась в марте 2022 года. Хотя исследователи пока обнаружили только вариант вредоноса для Linux, скорее всего, вариант для Windows тоже существует.