Siber suç alanında 'Cheers' adlı yeni bir fidye yazılımı ortaya çıktı ve savunmasız VMware ESXI sunucularını hedefleyerek faaliyetlerini başlattı.
VMware ESXI, dünya çapında büyük kuruluşlar tarafından yaygın olarak kullanılan bir sanallaştırma platformudur, bu nedenle bunları şifrelemek tipik olarak bir işletmenin operasyonlarında ciddi bozulmaya neden olur.
Geçmişte VMware ESXI platformunu hedefleyen birçok fidye yazılımı grubu gördük, en son eklemeler Lockbit ve Hive.
Kulübe Cheers fidye yazılımı eklenmesi, yeni varyant 'CheersCrypt' olarak adlandırılan Trend Micro'daki analistler tarafından keşfedildi.
Bir VMware ESXI sunucusu tehlikeye atıldıktan sonra, tehdit aktörleri, çalışan sanal makineleri otomatik olarak numaralandıracak ve aşağıdaki ESXCLI komutunu kullanarak kapatacak olan şifrelemi başlatır.
Dosyaları şifrelerken, aşağıdaki .log, .vmdk, .vmem, .vswp ve .vmsn uzantıları ile dosyaları özellikle arar. Bu dosya uzantıları ESXI anlık görüntüleri, günlük dosyaları, takas dosyaları, sayfalama dosyaları ve sanal disklerle ilişkilidir.
Şifrelenmiş her dosyada dosya adına eklenen “.Cheers” uzantısı olacaktır. Garip bir şekilde, dosyaların yeniden adlandırılması şifrelemeden önce gerçekleşir, bu nedenle bir dosyayı yeniden adlandırmak için erişim izni reddedilirse, şifreleme başarısız olur, ancak dosya yine de yeniden adlandırılır.
Şifreleme şeması, bir sır (Sosemanuk Stream Cipher) anahtarını elde etmek için bir çift kamu ve özel anahtar kullanır ve her şifreli dosyaya yerleştirir. İyileşmeyi önlemek için gizli anahtar oluşturmak için kullanılan özel anahtar silinir.
Dosyaların şifrelemesi için klasörleri tararken, fidye yazılımı her klasörde 'Files.txt'lerinizi nasıl geri yükleyeceğiniz' adlı fidye notları oluşturacaktır.
Bu fidye notları, kurbanın dosyalarına ne olduğu ve fidye yazılımı operasyonunun TOR veri sızıntı sitelerine ve fidye müzakere sitelerine bağlantılar hakkında bilgi yer alıyor.
Her kurbanın müzakereleri için benzersiz bir TOR sitesi vardır, ancak veri sızıntı alanı soğan URL'si statiktir.
BleepingComputer'ın yeni operasyonla ilgili araştırmasına dayanarak, Mart 2022'de piyasaya sürüldü.
Bugüne kadar sadece bir Linux fidye yazılımı varyantı bulunurken, muhtemelen bir Windows varyantı da mevcuttur.
BleepingComputer, şimdilik sadece dört kurbanı listeleyen Şerefe Fidye Yazılımı operasyonu için veri sızıntısı ve kurban gasp soğan sitesini buldu.
Bununla birlikte, bu portalın varlığı, Cheers'ın saldırılar sırasında veri açığa çıktığını ve çalınan verileri çift genişlemeli saldırılarda kullandığını gösterir.
Mağdurlar yarı büyük bir boyutta, bu yüzden yeni grubun daha büyük talepleri karşılayacak konumda olan şirketleri vurmayı tercih ettiği anlaşılıyor.
Baktığımız fidye notlarına dayanarak, tehdit aktörleri kurbanlarına, çalışan bir şifre çözme anahtarı karşılığında fidye ödemesini müzakere etmek için sağlanan TOR sitesine erişmeleri için üç gün veriyor.
Mağdurlar fidye ödemezlerse, tehdit aktörleri çalınan verileri diğer dolandırıcılara satacaklarını söylüyor.
Kimse veri satın almak istemiyorsa, sızıntı portalında yayınlanır ve müşterilere, yüklenicilere, veri koruma yetkililerine, rakiplere ve diğer tehdit aktörlerine maruz kalır.
Hive Fidye Yazılımı Ports'u Linux VMware ESXI şifrelemesini paslamak için
Endüstriyel Casus Veri Gasp Pazarı Fidye Yazılımı Oyununa girer
Conti fidye yazılımı saldırısı tarafından bozulan Shutterfly hizmetleri
Windows 11 KB5014019 Trend Micro Fidye Yazılımı Koruması
SpiceJet Havayolu Yolcuları Fidye Yazılımı Saldırısı'ndan sonra mahsur kaldı
Kaynak: Bleeping Computer