Il nuovo ransomware Linux "Cheers" prende di mira i server VMware ESXi

Un nouveau rançongiciel nommé « Cheers » est apparu dans l’espace de la cybercriminalité et a commencé ses opérations en ciblant les serveurs VMware ESXi vulnérables.

VMware ESXi est une plate-forme de virtualisation couramment utilisée par les grandes entreprises du monde entier. Par conséquent, leur chiffrement entraîne généralement de graves perturbations dans les opérations d’une entreprise.

Nous avons vu de nombreux groupes de ransomwares ciblant la plate-forme VMware ESXi dans le passé, les ajouts les plus récents étant LockBit et Hive.

L’ajout du rançongiciel Cheers au club a été découvert par les analystes de Trend Micro, qui appellent la nouvelle variante “Cheerscrypt”.

Infection et cryptage

Une fois qu’un serveur VMware ESXi est compromis, les pirates lancent le chiffreur, qui énumère automatiquement les machines virtuelles en cours d’exécution et les arrête à l’aide de la commande esxcli suivante.

Lors du chiffrement de fichiers, il recherche spécifiquement les fichiers avec les extensions .log, .vmdk, .vmem, .vswp et .vmsn suivantes. Ces extensions de fichier sont associées aux instantanés ESXi, aux fichiers journaux, aux fichiers d’échange, aux fichiers d’échange et aux disques virtuels.

Chaque fichier crypté aura l’extension “.Cheers” ajoutée à son nom de fichier. Étrangement, le changement de nom des fichiers se produit avant le cryptage, donc si l’autorisation d’accès pour renommer un fichier est refusée, le cryptage échouera, mais le fichier sera toujours renommé.

Le schéma de chiffrement utilise une paire de clés publique et privée pour dériver une clé secrète (chiffrement de flux SOSEMANUK) et l’intégrer dans chaque fichier chiffré. La clé privée utilisée pour générer la clé secrète est effacée pour empêcher la récupération.​

Lors de l’analyse des dossiers pour les fichiers à chiffrer, le rançongiciel créera des notes de rançon nommées “Comment restaurer vos fichiers.txt” dans chaque dossier.

Ces notes de rançon incluent des informations sur ce qui est arrivé aux fichiers de la victime et des liens vers les sites de fuite de données Tor et les sites de négociation de rançon de l’opération de ransomware.

Chaque victime a un site Tor unique pour ses négociations, mais l’URL Onion du site de fuite de données est statique.

Sur la base des recherches de BleepingComputer sur la nouvelle opération, elle semble avoir été lancée en mars 2022.

Bien qu’une seule variante de rançongiciel Linux ait été trouvée à ce jour, il existe probablement une variante Windows également disponible.

Utilise un système de double extorsion

BleepingComputer a trouvé le site Onion de fuite de données et d’extorsion de victimes pour l’opération de rançongiciel Cheers, qui ne répertorie que quatre victimes pour l’instant.

Cependant, l’existence même de ce portail indique que Cheers effectue une exfiltration de données pendant les attaques et utilise les données volées dans des attaques de double extorsion.

Les victimes sont de taille semi-grande, il semble donc que le nouveau groupe préfère frapper les entreprises qui sont en mesure de couvrir des demandes plus importantes.

Sur la base des notes de rançon que nous avons examinées, les acteurs de la menace donnent à leurs victimes trois jours pour accéder au site Tor fourni afin de négocier le paiement de la rançon en échange d’une clé de déchiffrement fonctionnelle.

Si les victimes ne paient pas de rançon, les acteurs de la menace disent qu’ils vendront les données volées à d’autres escrocs.

Si personne n’est intéressé à acheter les données, elles sont publiées sur le portail de fuite et exposées aux clients, sous-traitants, autorités de protection des données, concurrents et autres acteurs de la menace.

Le rançongiciel vole-t-il des fichiers ?

Pour aider à inciter leurs victimes à payer les demandes de rançon, certaines variantes de ransomware incluent désormais un composant de vol de données. Avant de crypter les fichiers sur l’ordinateur d’un utilisateur, le rançongiciel recherchera des données précieuses et en enverra des copies à l’attaquant.

Que fera le rançongiciel sur les fichiers ? Un rançongiciel est un logiciel malveillant conçu pour empêcher un utilisateur ou une organisation d’accéder aux fichiers de son ordinateur. En chiffrant ces fichiers et en exigeant le paiement d’une rançon pour la clé de déchiffrement, les cyberattaquants placent les organisations dans une position où le paiement de la rançon est le moyen le plus simple et le moins cher de retrouver l’accès à leurs fichiers.

Les rançongiciels peuvent-ils se propager via des fichiers ?

Comment les rançongiciels se propagent-ils ? Les ransomwares se propagent généralement via des e-mails de phishing contenant des pièces jointes malveillantes. Ces e-mails peuvent inclure des fichiers ZIP, des PDF, des documents Word, des feuilles Excel ou d’autres types de fichiers. Une fois qu’une personne ouvre la pièce jointe, le ransomware peut être téléchargé instantanément.

Quelles données le rançongiciel vole-t-il ?

Lors d’une attaque par rançongiciel, les cybercriminels déploient des logiciels malveillants (logiciels malveillants) dans des systèmes informatiques ciblés pour saisir et crypter des données sensibles. Des exemples de données sensibles incluent :

• Numéros de sécurité sociale.
• Détails de la carte de crédit.
• Mots de passe.
• Données personnelles.
• Les numéros de téléphone.

Les rançongiciels peuvent-ils passer par la machine virtuelle ?

Symantec a trouvé des preuves qu’un nombre croissant d’attaquants utilisant des ransomwares utilisent des machines virtuelles (VM) pour exécuter leurs charges utiles de ransomwares sur des ordinateurs compromis. La motivation derrière la tactique est la furtivité.

Les rançongiciels peuvent-ils sortir de la VM ? Le logiciel malveillant peut ne pas être en mesure de sortir de la machine virtuelle, mais en même temps, il peut ne rien faire lorsqu’il s’exécute à l’intérieur de la machine virtuelle.

Pouvez-vous exécuter des logiciels malveillants sur une machine virtuelle ?

Le bogue Venom trouvé dans Xen, mon cher VirtualBox et KVM a prouvé que les logiciels malveillants pouvaient échapper à un environnement virtuel. Voici quelques façons de protéger votre hôte : Vous devez échanger des fichiers entre les deux systèmes via un dossier partagé, vous pouvez définir les autorisations sur ce dossier en lecture seule.

Peut-on être piraté via une VM ?

Les machines virtuelles sont d’excellentes alternatives aux machines physiques en raison de leurs immenses avantages. Cependant, ils sont toujours vulnérables aux pirates. Par exemple, en 2017, sur Pwn2Own, les équipes chinoises, 360 Security et Tencent Security, se sont échappées d’un système d’exploitation virtuel déployé dans une VMware Workstation.

Les machines virtuelles ont-elles besoin d’un antivirus ?

Cet ordinateur virtualisé est aussi vulnérable aux virus qu’un PC habituel sous Windows. Nous vous recommandons vivement d’installer un logiciel antivirus (AV) dans le système d’exploitation invité. Vous pouvez installer n’importe quel logiciel antivirus compatible avec la version du système d’exploitation Windows que vous exécutez sur la machine virtuelle.

Peut-on attraper des virus sur une machine virtuelle ? En raison de la façon dont certaines personnes ne sont pas aussi prudentes dans l’utilisation de leurs machines virtuelles qu’elles le sont avec leurs ordinateurs hôtes, leurs machines virtuelles finissent par devenir un cloaque de virus et de logiciels malveillants qui peuvent potentiellement pénétrer dans l’hôte s’ils ne font pas attention.

Comment protéger ma machine virtuelle ?

• Protection générale des machines virtuelles.
• Utilisez des modèles pour déployer des machines virtuelles.
• Minimisez l’utilisation de la console de la machine virtuelle.
• Empêcher les machines virtuelles de prendre le contrôle des ressources.
• Désactivez les fonctions inutiles à l’intérieur des machines virtuelles. Supprimez les périphériques matériels inutiles. Supprimez les périphériques matériels inutiles.

Ai-je besoin d’une protection antivirus sur une machine virtuelle ?

Si vous utilisez la machine virtuelle pour effectuer un travail réel en plus des tests, oui, elle devrait avoir un antivirus, car elle pourrait sauter sur la machine principale si vous y déplacez un fichier. Si c’est juste pour tester un programme en bac à sable, vous n’avez pas besoin d’antivirus ou de quoi que ce soit d’autre, simplement parce que vous pouvez toujours effacer le disque dur virtuel.