freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    新型勒索软件Cheers正攻击VMware ESXi 服务器
    2022-05-26 10:44:07

    据Bleeping Computer网站5月25日消息,一种名为“Cheers”的新型勒索软件出现在网络犯罪领域,目标是针对易受攻击的 VMware ESXi 服务器。

    VMware ESXi 是全球大型组织普遍使用的虚拟化平台,因此对其进行加密通常会严重破坏企业的运营。近期已有多个针对 VMware ESXi 平台的勒索软件组,包括 LockBit 和 Hive。而Cheers 勒索软件由趋势科技最新发现,并将新变种称为“Cheerscrypt”。

    当Cheers攻击VMware ESXi 服务器时,会启动加密器,它会自动枚举正在运行的虚拟机并使用以下 esxcli 命令将其关闭:

    esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

    在加密文件时,Cheers会专门寻找具有 .log、.vmdk、.vmem、.vswp 和 .vmsn 扩展名的文件。这些文件扩展名与 ESXi 快照、日志文件、交换文件、页面文件和虚拟磁盘相关联。每个加密文件都会在其文件名后附加“ .Cheers ”扩展名,但文件重命名发生在加密之前,所以如果重命名文件的访问权限被拒绝,加密会失败,但文件仍然会被重命名。

    加密方案使用一对公钥和私钥来派生一个秘密(SOSEMANUK 流密码)密钥并将其嵌入每个加密文件中。用于生成密钥的私钥被擦除以防止恢复。

    Cheers 加密例程

    在扫描文件夹以查找要加密的文件时,勒索软件将在每个文件夹中创建名为“ How To Restore Your Files.txt ”的勒索记录这些赎金记录包括有关受害者被加密文件情况的信息、Tor 数据泄露站点和赎金缴纳站点的链接。每个受害者都有一个唯一的 Tor 站点,但数据泄露站点 Onion URL 是静态的。

    根据 Bleeping Computer 的研究,Cheers似乎于 2022 年 3 月开始运作,虽然迄今为止只发现了 Linux 勒索软件版本,但不排除也存在针对Windows系统的变体。

    Bleeping Computer 发现了 Cheers的数据泄露和受害者勒索 Onion 网站,该网站目前仅列出了四名受害者。但该门户的存在表明 Cheers 在攻击期间执行数据泄露,并将被盗数据用于双重勒索攻击。

    Cheer 的数据泄露 Onion 网站

    通过观察,这些受害者都是比较大型的企业组织,似乎目前的新型勒索软件组织更青睐于这些“大目标”以满足勒索需求。

    根据调查赎金记录,攻击者给受害者三天的时间来登录提供的 Tor 站点以协商赎金支付,从而换取有效的解密密钥。如果受害者不支付赎金,攻击者表示他们会将被盗数据出售给其他同行,给受害者带来更大威胁和损失。

    参考来源:https://www.bleepingcomputer.com/news/security/new-cheers-linux-ransomware-targets-vmware-esxi-servers

    本文作者:, 转载请注明来自FreeBuf.COM

    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    评论 按热度排序

    登录/注册后在FreeBuf发布内容哦

    相关推荐
    \
    • 0 文章数
    • 0 评论数
    • 0 关注者
    登录 / 注册后在FreeBuf发布内容哦