- 27 5 月, 2022
- Posted by: admin
- Category: 教學資訊
一種名為“Cheers”的新型勒索軟件出現在網絡犯罪領域,並通過針對易受攻擊的 VMware ESXi 服務器開始運作。
VMware ESXi 是全球大型組織普遍使用的虛擬化平台,因此對其進行加密通常會嚴重破壞企業的運營。
過去,我們已經看到許多針對 VMware ESXi 平台的勒索軟件組,最近添加了 LockBit 和 Hive。
分析師發現了向俱樂部添加了 Cheers 勒索 軟件,
他們將新變種稱為“Cheerscrypt”。
感染和加密
一旦 VMware ESXi 服務器受到威脅,威脅參與者就會啟動加密器,
它會自動枚舉正在運行的虛擬機並使用以下 esxcli 命令將其關閉。
esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)在加密文件時,它會專門尋找具有以下 .log、.vmdk、.vmem、.vswp 和 .vmsn 擴展名的文件。
這些文件擴展名與 ESXi 快照、日誌文件、交換文件、頁面文件和虛擬磁盤相關聯。
每個加密文件都會在其文件名後附加“ .Cheers ”擴展名。奇怪的是,文件的重命名發生在加密之前,
所以如果重命名文件的訪問權限被拒絕,加密會失敗,但文件仍然會被重命名。
加密方案使用一對公鑰和私鑰來派生一個秘密(SOSEMANUK 流密碼)密鑰並將其嵌入每個加密文件中。
用於生成密鑰的私鑰被擦除以防止恢復。
在掃描文件夾以查找要加密的文件時,
勒索軟件會在每個文件夾中創建名為“ How To Restore Your Files.txt ”的勒索記錄。
這些贖金記錄包括有關受害者文件發生情況的信息以及勒索軟件操作的 Tor 數據洩露站點和贖金協商站點的鏈接。
每個受害者都有一個唯一的 Tor 站點進行協商,但數據洩露站點 Onion URL 是靜態的。
資料來源:BleepingComputer
根據 BleepingComputer 對新操作的研究,它似乎已於 2022 年 3 月啟動。
雖然迄今為止只發現了 Linux 勒索軟件變體,但也可能有 Windows 變體可用。
使用雙重勒索方案
BleepingComputer 發現了 Cheers 勒索軟件操作的數據洩露和受害者勒索 Onion 網站,
該網站目前僅列出了四名受害者。
但是,該門戶的存在表明 Cheers 在攻擊期間執行數據洩露,
並將被盜數據用於雙重勒索攻擊。
來源:BleepingComputer
受害者是半大型的,因此新組織似乎更願意打擊能夠滿足更大需求的公司。
根據我們調查的贖金記錄,威脅參與者給他們的受害者三天的時間來訪問提供的 Tor 站點,
以協商贖金支付,以換取有效的解密密鑰。
如果受害者不支付贖金,威脅者表示他們會將被盜數據出售給其他騙子。
如果沒有人對購買數據感興趣,它就會在洩密門戶上發布,
並暴露給客戶、承包商、數據保護機構、競爭對手和其他威脅參與者。