一种名为“Cheers”的新型勒索软件出现在网络犯罪现场,目标是易受攻击的VMwareESXi服务器。VMwareESXi是全球大型组织普遍使用的虚拟化平台,因此对其进行加密通常会对业务运营造成严重破坏。最近出现了几个针对VMwareESXi平台的勒索软件组织,包括LockBit和Hive。Cheers勒索软件最近被趋势科技发现,新变种名为“Cheerscrypt”。当Cheers攻击VMwareESXi服务器时,Cipher会启动,它会自动枚举正在运行的虚拟机并使用以下esxcli命令关闭它们:esxclivmprocesskill–type=force–world-id=$(esxclivmprocesslist|grep'WorldID'|awk'{print$3}')在加密文件时,Cheers专门查找扩展名为.log、.vmdk、.vmem、.vswp和.vmsn的文件。这些文件扩展名与ESXi快照、日志文件、交换文件、页面文件和虚拟磁盘相关联。每个加密文件的文件名都会附加“.Cheers”扩展名,但文件重命名发生在加密之前,因此如果拒绝访问重命名的文件,加密将失败,但文件仍会重命名。该加密方案使用一对公钥和私钥导出一个秘密(SOSEMANUK流密码)密钥并将其嵌入到每个加密文件中。用于生成密钥的私钥被擦除以防止恢复。当Cheers加密例程扫描文件夹以查找要加密的文件时,勒索软件将在每个文件夹中创建一个名为“HowToRestoreYourFiles.txt”的赎金票据。这些赎金票据包括有关受害者加密文件的信息、指向Tor数据泄露站点和赎金支付站点的链接。每个受害者都有一个独特的Tor站点,但数据泄露站点OnionURL是静态的。根据BleepingComputer的研究,Cheers似乎在2022年3月开始运行,虽然目前只发现了Linux勒索软件版本,但不排除还有针对Windows系统的变种。BleepingComputer发现了Cheers的数据泄露和受害者勒索Onion网站,该网站目前仅列出了四名受害者。但门户网站的存在表明Cheers在攻击过程中进行了数据泄露,并使用窃取的数据进行双重勒索攻击。Cheer的数据泄露洋葱网站观察到,这些受害者都是比较大的企业组织。似乎目前的新型勒索软件组织更喜欢这些“大目标”来满足他们的勒索要求。根据InvestigativeRansomNotes,攻击者给受害者三天时间登录提供的Tor站点以协商支付赎金以换取有效的解密密钥。如果受害者不支付赎金,攻击者表示会将窃取的数据出售给其他同行,给受害者带来更大的威胁和损失。参考来源:https://www.bleepingcomputer.com/news/security/new-cheers-linux-ransomware-targets-vmware-esxi-servers
