社区编辑申请
注册/登录
新型勒索软件Cheers正攻击VMware ESXi 服务器
安全
VMware ESXi 是全球大型组织普遍使用的虚拟化平台,因此对其进行加密通常会严重破坏企业的运营。

据Bleeping Computer网站5月25日消息,一种名为“Cheers”的新型勒索软件出现在网络犯罪领域,目标是针对易受攻击的 VMware ESXi 服务器。

VMware ESXi 是全球大型组织普遍使用的虚拟化平台,因此对其进行加密通常会严重破坏企业的运营。近期已有多个针对 VMware ESXi 平台的勒索软件组,包括 LockBit 和 Hive。而Cheers 勒索软件由趋势科技最新发现,并将新变种称为“Cheerscrypt”。

当Cheers攻击VMware ESXi 服务器时,会启动加密器,它会自动枚举正在运行的虚拟机并使用以下 esxcli 命令将其关闭:

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk {print $3})

在加密文件时,Cheers会专门寻找具有 .log、.vmdk、.vmem、.vswp 和 .vmsn 扩展名的文件。这些文件扩展名与 ESXi 快照、日志文件、交换文件、页面文件和虚拟磁盘相关联。每个加密文件都会在其文件名后附加“ .Cheers ”扩展名,但文件重命名发生在加密之前,所以如果重命名文件的访问权限被拒绝,加密会失败,但文件仍然会被重命名。

加密方案使用一对公钥和私钥来派生一个秘密(SOSEMANUK 流密码)密钥并将其嵌入每个加密文件中。用于生成密钥的私钥被擦除以防止恢复。

Cheers 加密例程

在扫描文件夹以查找要加密的文件时,勒索软件将在每个文件夹中创建名为“ How To Restore Your Files.txt ”的勒索记录。这些赎金记录包括有关受害者被加密文件情况的信息、Tor 数据泄露站点和赎金缴纳站点的链接。每个受害者都有一个唯一的 Tor 站点,但数据泄露站点 Onion URL 是静态的。

根据 Bleeping Computer 的研究,Cheers似乎于 2022 年 3 月开始运作,虽然迄今为止只发现了 Linux 勒索软件版本,但不排除也存在针对Windows系统的变体。

Bleeping Computer 发现了 Cheers的数据泄露和受害者勒索 Onion 网站,该网站目前仅列出了四名受害者。但该门户的存在表明 Cheers 在攻击期间执行数据泄露,并将被盗数据用于双重勒索攻击。

Cheer 的数据泄露 Onion 网站

通过观察,这些受害者都是比较大型的企业组织,似乎目前的新型勒索软件组织更青睐于这些“大目标”以满足勒索需求。

根据调查赎金记录,攻击者给受害者三天的时间来登录提供的 Tor 站点以协商赎金支付,从而换取有效的解密密钥。如果受害者不支付赎金,攻击者表示他们会将被盗数据出售给其他同行,给受害者带来更大威胁和损失。

参考来源:https://www.bleepingcomputer.com/news/security/new-cheers-linux-ransomware-targets-vmware-esxi-servers

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-06-15 08:21:49

Linux运维工程师

2022-06-01 17:47:24

运维监控系统

2022-06-09 18:04:46

网络攻击网络安全

2022-04-21 10:01:48

VMware

2022-06-23 09:49:16

火绒安全英特尔

2022-05-23 07:48:10

zabbix监控CentOS7

2022-06-16 16:12:57

网络资产攻击面管理CAASM

2022-06-14 14:03:06

网络安全从业者网络安全赎金

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-23 11:42:22

MySQL数据库

2022-05-05 09:27:31

Linux服务器优化

2022-06-24 11:34:38

云计算应用安全

2022-05-17 11:06:44

数据库MySQL系统

2022-06-14 23:34:10

Linux安全服务器

2022-06-20 11:51:57

基础设施保护网络攻击

2022-05-26 07:41:24

Ftp服务器

2022-06-15 10:30:07

数据中心5G蜂窝网络

2022-06-16 10:31:26

2022-05-09 15:08:56

存储厂商NFV领域华为

2022-06-21 09:27:01

PythonFlaskREST API

同话题下的热门内容

无线网络安全的12个优秀实践如何避免严重网络安全事故的发生?Google发布《SOC建设指南》,对未来SOC提出新思考六个优秀漏洞管理工具以及它们如何帮助确定威胁的优先级如何做好统一身份认证账号管理及集成?摒弃传统的用户名和密码登录防不胜防?网络钓鱼攻击常用手法盘点与防护建议首席信息安全官仍然会犯的漏洞管理错误

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号