Novo ransomware para Linux tem como alvo servidores VMware ESXi

Da Redação
25/05/2022

Um novo ransomware apelidado de ‘Cheers’ iniciou suas operações visando servidores VMware ESXi vulneráveis. O VMware ESXi é uma plataforma de virtualização usada por grandes organizações em todo o mundo e justamente por isso é extremamente visada por grupos de hackers, sendo os mais recentes ataques a esses servidores partiram dos operadores do LockBit e Hive.

O ransomware Cheers foi descoberto por analistas da Trend Micro, que chamam a nova variante de ‘Cheerscrypt’. Segundo eles, depois que um servidor VMware ESXi é comprometido, os operadores da ameaça iniciam o criptografador, que enumera automaticamente as máquinas virtuais em execução e as encerra usando o comando esxcli. Ao criptografar arquivos, ele procura especificamente arquivos com as seguintes extensões .log, .vmdk, .vmem, .vswp e .vmsn. Essas extensões de arquivo estão associadas a instantâneos ESXi, arquivos de log, arquivos de troca, arquivos de paginação e discos virtuais.

Cada arquivo criptografado terá a extensão “.Cheers” anexada ao nome do arquivo. Segundo os analistas da Trend Micro, estranhamente, a renomeação de arquivos acontece antes da criptografia, portanto, se a permissão de acesso para renomear um arquivo for negada, a criptografia falhará, mas o arquivo ainda será renomeado.

Veja isso
Variante Lockbit para VMware ESXi e Linux é analisada
Ransomware criptografa VMware ESXi com script Python

O esquema de criptografia usa um par de chaves públicas e privadas para derivar uma chave secreta (cifra de fluxo SOSEMANUK) e a incorpora em cada arquivo criptografado. A chave privada usada para gerar a chave secreta é apagada para evitar a recuperação. Ao escanear pastas para arquivos criptografados, o ransomware criará notas de resgate chamadas ‘Como restaurar seus arquivos.txt’ em cada pasta. As notas de resgate incluem informações sobre o que aconteceu com os arquivos da vítima e links para os sites de vazamento de dados do Tor da operação de ransomware e sites de negociação de resgate.

Cada vítima tem um site Tor exclusivo para suas negociações, mas o URL Onion do site de vazamento de dados é estático. Com base em uma pesquisa, o BleepingComputer estima que a operação do Cheers começou em março.

Embora apenas uma variante de ransomware do Linux tenha sido encontrada até o momento, provavelmente também há uma variante do Windows disponível.

Compartilhar: