CONTEÚDO RELACIONADO – Campanhas de ransom de negação de serviço em 2022 estão mais sofisticadas, alerta fabricante
Na nota de resgate que aparece na tela das vítimas, dão a organização 3 dias para contatá-los. Caso contrário, o grupo liberará publicamente os dados da caixa comprometida e aumentará o valor de resgate.
Porém para conseguir isso, parece que os criminosos precisam obter acesso privilegiado ao shell (desativado por padrão) ao servidor hipervisor ESXi de destino ou obter a capacidade de executar comandos no host. Uma vez executado, o Cheers executa comando para encerrar todos os processos de máquina virtual.
O ransomware procura arquivos de log e arquivos relacionados ao VMware que tenham as extensões: .log, .vmdk, .vmem, .vswp e .vmsn. Porém em uma reviravolta, o ransomware primeiro renomeia os arquivos que planeja criptografar antes de realmente faze-lo. Depois que a criptografia é concluída, o ransomware exibe.
Para cada arquivo a ser criptografado, ele gera um par de chaves públicas-privadas ECDH. Em seguida, ele usa sua chave pública incorporada e a chave privada gerada para criar uma chave secreta que será usada como uma chave SOSEMANUK. Depois de criptografar o arquivo, ele anexará a chave pública gerada a ele. Como a chave privada gerada não é salva, não se pode usar a chave pública incorporada com a chave privada gerada para produzir a chave secreta. Portanto, a descriptografia só é possível se a chave privada do agente mal-intencionado for conhecida.
As organizações precisam ser proativas ao proteger os sistemas contra ransomware e outros ataques. Isso inclui adotar estruturas de segurança como as do Centro de Segurança da Internet e do Instituto Nacional de Padrões e Tecnologia.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e Twitter.
