Cheerscrypt fidye yazılımı

VMware ESXi sunucularını hedef alan Linux tabanlı Cheerscrypt fidye yazılımı bulundu.

Cheerscrypt kötü amaçlı yazılımı, sanallaştırma yazılımını kullanan şirketlerde ciddi aksamalara neden olabilir.

Güvenlik araştırmacıları, savunmasız VMware ESXi sunucularını hedefleyen yeni fidye yazılımı keşfetti.

Trend Micro’daki araştırmacılara göre, “Cheers” veya “Cheerscrypt” olarak adlandırılan fidye yazılımı önce bir ESXi sunucusunu ele geçirir, ardından sanal makineleri bulan ve ardından bir esxcli komutuyla sonlandıran bir şifreleyici başlatır.

Bir blog gönderisinde araştırmacılar, VM süreçlerinin sona ermesinin, fidye yazılımının VMware ile ilgili dosyaları başarıyla şifreleyebilmesini sağladığını söyledi. Bu fidye yazılımının  geçmişte diğer ESXi sunucularına saldıran LockBit,  Hive ve  RansomEXX gibi fidye yazılımı ailelerine benzediğini de eklediler.

Cheers fidye yazılımı şu dosya adı uzantılarına sahip dosyaları arar: .log, .vmdk, .vmem, .vswp ve .vmsn. Bu dosya türleri ESXi anlık görüntülerine, günlük dosyalarına, takas dosyalarına, disk belleği dosyalarına ve sanal disklere bağlıdır.

Şifreleme gerçekleşmeden önce, fidye yazılımı bir dizindeki her dosyayı bir .Cheers uzantısıyla yeniden adlandıracak ve bunların yanına ‘Dosyalarınızı Nasıl Geri Yüklersiniz? başlıklı bir fidye notu ekleyecektir. Araştırmacılar, dosyaya erişim izni verilmezse şifrelemenin başarısız olduğunu kaydetti.

Şifrelemenin ardından, kaç dosyanın şifrelendiği ve kaç dosyanın atlandığı da dahil olmak üzere saldırısının veri istatistiklerini içeren bir konsol görüntüler.

Kötü amaçlı yazılımın yürütülebilir dosyası, bilgisayar korsanları tarafından tutulan özel anahtarla eşleşen bir anahtar çiftinin ortak anahtarını içerir.  Dosyaları şifrelemek  için SOSEMANUK akış şifresini ve SOSEMANUK  anahtarını oluşturmak için ECDH’yi kullanır.

Bir ECDH genel-özel anahtar çifti, makinede Linux’un /dev/urandom aracılığıyla şifrelenir. Daha sonra, SOSEMANUK anahtarı olarak kullanılacak bir gizli anahtar oluşturmak için gömülü genel anahtarı ve oluşturulan özel anahtarı kullanır.

Araştırmacılara göre, şifre çözme ancak kötü niyetli aktörün özel anahtarı biliniyorsa mümkündür.

Araştırmacılar, ESXi’nin fidye yazılımı saldırıları için popüler bir hedef olduğunu söyledi. “ESXi sunucularından ödün vermek, bazı kötü şöhretli siber suçlu grupları tarafından kullanılan bir plandı çünkü bu, fidye yazılımını birçok cihaza hızla yaymanın bir yolu. Bu nedenle kuruluşlar, kötü niyetli aktörlerin kötü amaçlı yazılım cephaneliklerini yükseltmelerini ve parasal kazanç için mümkün olduğunca çok sayıda sistem ve platformu ihlal etmelerini beklemelidir ”diye eklediler.

Araştırma, ABD güvenlik ajansı CISA’nın federal ve özel kuruluşları bilgisayar korsanları tarafından aktif olarak hedeflenen beş savunmasız VMware ürününü acilen düzeltmeleri veya kaldırmaları konusunda uyarmasından bir hafta sonra geldi.

Makalenin orjinal kaynağını bu linkten okuyabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.