據(jù)Bleeping Computer網(wǎng)站5月25日消息，一種名為“Cheers”的新型勒索軟件出現(xiàn)在網(wǎng)絡(luò)犯罪領(lǐng)域，目標(biāo)是針對(duì)易受攻擊的 VMware ESXi 服務(wù)器。

VMware ESXi 是全球大型組織普遍使用的虛擬化平臺(tái)，因此對(duì)其進(jìn)行加密通常會(huì)嚴(yán)重破壞企業(yè)的運(yùn)營(yíng)。近期已有多個(gè)針對(duì) VMware ESXi 平臺(tái)的勒索軟件組，包括 LockBit 和 Hive。而Cheers 勒索軟件由趨勢(shì)科技最新發(fā)現(xiàn)，并將新變種稱為“Cheerscrypt”。

當(dāng)Cheers攻擊VMware ESXi 服務(wù)器時(shí)，會(huì)啟動(dòng)加密器，它會(huì)自動(dòng)枚舉正在運(yùn)行的虛擬機(jī)并使用以下 esxcli 命令將其關(guān)閉：

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

在加密文件時(shí)，Cheers會(huì)專門尋找具有 .log、.vmdk、.vmem、.vswp 和 .vmsn 擴(kuò)展名的文件。這些文件擴(kuò)展名與 ESXi 快照、日志文件、交換文件、頁(yè)面文件和虛擬磁盤相關(guān)聯(lián)。每個(gè)加密文件都會(huì)在其文件名后附加“ .Cheers ”擴(kuò)展名，但文件重命名發(fā)生在加密之前，所以如果重命名文件的訪問(wèn)權(quán)限被拒絕，加密會(huì)失敗，但文件仍然會(huì)被重命名。

加密方案使用一對(duì)公鑰和私鑰來(lái)派生一個(gè)秘密(SOSEMANUK 流密碼)密鑰并將其嵌入每個(gè)加密文件中。用于生成密鑰的私鑰被擦除以防止恢復(fù)。

Cheers 加密例程

在掃描文件夾以查找要加密的文件時(shí)，勒索軟件將在每個(gè)文件夾中創(chuàng)建名為“ How To Restore Your Files.txt ”的勒索記錄。這些贖金記錄包括有關(guān)受害者被加密文件情況的信息、Tor 數(shù)據(jù)泄露站點(diǎn)和贖金繳納站點(diǎn)的鏈接。每個(gè)受害者都有一個(gè)唯一的 Tor 站點(diǎn)，但數(shù)據(jù)泄露站點(diǎn) Onion URL 是靜態(tài)的。

根據(jù) Bleeping Computer 的研究，Cheers似乎于 2022 年 3 月開(kāi)始運(yùn)作，雖然迄今為止只發(fā)現(xiàn)了 Linux 勒索軟件版本，但不排除也存在針對(duì)Windows系統(tǒng)的變體。

Bleeping Computer 發(fā)現(xiàn)了 Cheers的數(shù)據(jù)泄露和受害者勒索 Onion 網(wǎng)站，該網(wǎng)站目前僅列出了四名受害者。但該門戶的存在表明 Cheers 在攻擊期間執(zhí)行數(shù)據(jù)泄露，并將被盜數(shù)據(jù)用于雙重勒索攻擊。

Cheer 的數(shù)據(jù)泄露 Onion 網(wǎng)站

通過(guò)觀察，這些受害者都是比較大型的企業(yè)組織，似乎目前的新型勒索軟件組織更青睞于這些“大目標(biāo)”以滿足勒索需求。

根據(jù)調(diào)查贖金記錄，攻擊者給受害者三天的時(shí)間來(lái)登錄提供的 Tor 站點(diǎn)以協(xié)商贖金支付，從而換取有效的解密密鑰。如果受害者不支付贖金，攻擊者表示他們會(huì)將被盜數(shù)據(jù)出售給其他同行，給受害者帶來(lái)更大威脅和損失。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/new-cheers-linux-ransomware-targets-vmware-esxi-servers