據(jù)Bleeping Computer網(wǎng)站5月25日消息，一種名為“Cheers”的新型勒索軟件出現(xiàn)在網(wǎng)絡(luò)犯罪領(lǐng)域，目標(biāo)是針對易受攻擊的 VMware ESXi 服務(wù)器。

VMware ESXi 是全球大型組織普遍使用的虛擬化平臺，因此對其進(jìn)行加密通常會嚴(yán)重破壞企業(yè)的運(yùn)營。近期已有多個針對 VMware ESXi 平臺的勒索軟件組，包括 LockBit 和 Hive。而Cheers 勒索軟件由趨勢科技最新發(fā)現(xiàn)，并將新變種稱為“Cheerscrypt”。

當(dāng)Cheers攻擊VMware ESXi 服務(wù)器時，會啟動加密器，它會自動枚舉正在運(yùn)行的虛擬機(jī)并使用以下 esxcli 命令將其關(guān)閉：

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

在加密文件時，Cheers會專門尋找具有 .log、.vmdk、.vmem、.vswp 和 .vmsn 擴(kuò)展名的文件。這些文件擴(kuò)展名與 ESXi 快照、日志文件、交換文件、頁面文件和虛擬磁盤相關(guān)聯(lián)。每個加密文件都會在其文件名后附加“ .Cheers ”擴(kuò)展名，但文件重命名發(fā)生在加密之前，所以如果重命名文件的訪問權(quán)限被拒絕，加密會失敗，但文件仍然會被重命名。

加密方案使用一對公鑰和私鑰來派生一個秘密(SOSEMANUK 流密碼)密鑰并將其嵌入每個加密文件中。用于生成密鑰的私鑰被擦除以防止恢復(fù)。

Cheers 加密例程

在掃描文件夾以查找要加密的文件時，勒索軟件將在每個文件夾中創(chuàng)建名為“ How To Restore Your Files.txt ”的勒索記錄。這些贖金記錄包括有關(guān)受害者被加密文件情況的信息、Tor 數(shù)據(jù)泄露站點和贖金繳納站點的鏈接。每個受害者都有一個唯一的 Tor 站點，但數(shù)據(jù)泄露站點 Onion URL 是靜態(tài)的。

根據(jù) Bleeping Computer 的研究，Cheers似乎于 2022 年 3 月開始運(yùn)作，雖然迄今為止只發(fā)現(xiàn)了 Linux 勒索軟件版本，但不排除也存在針對Windows系統(tǒng)的變體。

Bleeping Computer 發(fā)現(xiàn)了 Cheers的數(shù)據(jù)泄露和受害者勒索 Onion 網(wǎng)站，該網(wǎng)站目前僅列出了四名受害者。但該門戶的存在表明 Cheers 在攻擊期間執(zhí)行數(shù)據(jù)泄露，并將被盜數(shù)據(jù)用于雙重勒索攻擊。

Cheer 的數(shù)據(jù)泄露 Onion 網(wǎng)站

通過觀察，這些受害者都是比較大型的企業(yè)組織，似乎目前的新型勒索軟件組織更青睞于這些“大目標(biāo)”以滿足勒索需求。

根據(jù)調(diào)查贖金記錄，攻擊者給受害者三天的時間來登錄提供的 Tor 站點以協(xié)商贖金支付，從而換取有效的解密密鑰。如果受害者不支付贖金，攻擊者表示他們會將被盜數(shù)據(jù)出售給其他同行，給受害者帶來更大威脅和損失。

參考來源：https://www.bleepingcomputer.com/news/security/new-cheers-linux-ransomware-targets-vmware-esxi-servers