Los investigadores de seguridad han descubierto un nuevo ransomware dirigido a servidores vulnerables VMware ESXi. Este malware podría causar graves interrupciones a las empresas que utilizan el software de virtualización. El ransomware Cheerscrypt, se centra en los servidores VMware ESXi.
Apodado «Cheers» o «Cheerscrypt», el ransomware primero secuestra un servidor ESXi. Después inicia un cifrador que localiza máquinas virtuales y luego las finaliza con un comando esxcli, según los investigadores de Trend Micro.
En una publicación de blog, los investigadores dijeron que la terminación de los procesos de VM garantiza que el ransomware pueda cifrar con éxito los archivos relacionados con VMware. Agregaron que este ransomware es similar a familias de ransomware como LockBit, Hive y RansomEXX, que han atacado otros servidores ESXi en el pasado.
El ransomware Cheerscrypt, se centra en los servidores VMware ESXi
El ransomware Cheers busca archivos con las siguientes extensiones de nombre de archivo: .log, .vmdk, .vmem, .vswp y .vmsn. Estos tipos de archivos están conectados a instantáneas de ESXi, archivos de registro, archivos de intercambio, archivos de paginación y discos virtuales.
Antes de que ocurra el cifrado, el ransomware cambiará el nombre de cada archivo en un directorio a una extensión .Cheers. Añadirá después una nota de rescate, titulada ‘Cómo restaurar sus archivos.txt, junto con estos. Los investigadores notaron que el cifrado falla si no se otorga el permiso de acceso al archivo.
Después del cifrado, muestra una consola que contiene las estadísticas de datos de su ataque, incluidos cuántos archivos se han cifrado y cuántos se han omitido.
El archivo ejecutable del malware contiene la clave pública de un par de claves coincidente con la clave privada en poder de los piratas informáticos. Usa el cifrado de flujo SOSEMANUK para cifrar archivos y ECDH para generar la clave SOSEMANUK.
Un par de claves públicas y privadas ECDH se cifra en la máquina a través de /dev/urandom de Linux. A continuación, utiliza la clave pública incrustada y la clave privada generada para crear una clave secreta, que se utilizará como clave SOSEMANUK.
Según los investigadores, el descifrado solo es posible si se conoce la clave privada del actor malicioso.
Los investigadores dijeron que ESXi es un objetivo popular para los ataques de ransomware. “Comprometer los servidores ESXi ha sido un esquema utilizado por algunos grupos ciberdelincuentes notorios porque es un medio para propagar rápidamente el ransomware a muchos dispositivos. Por lo tanto, las organizaciones deben esperar que los actores maliciosos actualicen su arsenal de malware y violen tantos sistemas y plataformas como puedan para obtener ganancias monetarias”.