Um novo ransomware, apelidado de Cheers, iniciou suas operações visando servidores VMware ESXi vulneráveis. Sendo, uma plataforma virtual usada por grandes organizações em todo mundo e com isso é extremamente visada por grupos de hackers. O uso onipresente da tecnologia e o tamanho de algumas empresas que a utilizam a tornaram uma maneira eficiente de os criminosos infectarem um grande número de sistemas virtuais, dispositivos e equipamentos conectados.
Na nota de resgate que aparece na tela das vítimas, dão a organização 3 dias para contatá-los. Caso contrário, o grupo liberará publicamente os dados da caixa comprometida e aumentará o valor de resgate.
Porém para conseguir isso, parece que os criminosos precisam obter acesso privilegiado ao shell (desativado por padrão) ao servidor hipervisor ESXi de destino ou obter a capacidade de executar comandos no host. Uma vez executado, o Cheers executa comando para encerrar todos os processos de máquina virtual.
O ransomware procura arquivos de log e arquivos relacionados ao VMware que tenham as extensões: .log, .vmdk, .vmem, .vswp e .vmsn. Porém em uma reviravolta, o ransomware primeiro renomeia os arquivos que planeja criptografar antes de realmente faze-lo. Depois que a criptografia é concluída, o ransomware exibe.
Para cada arquivo a ser criptografado, ele gera um par de chaves públicas-privadas ECDH. Em seguida, ele usa sua chave pública incorporada e a chave privada gerada para criar uma chave secreta que será usada como uma chave SOSEMANUK. Depois de criptografar o arquivo, ele anexará a chave pública gerada a ele. Como a chave privada gerada não é salva, não se pode usar a chave pública incorporada com a chave privada gerada para produzir a chave secreta. Portanto, a descriptografia só é possível se a chave privada do agente mal-intencionado for conhecida.
As organizações precisam ser proativas ao proteger os sistemas contra ransomware e outros ataques. Isso inclui adotar estruturas de segurança como as do Centro de Segurança da Internet e do Instituto Nacional de Padrões e Tecnologia.