Neue Linux-basierte Ransomware Cheerscrypt zielt auf ESXi

Originalartikel von Arianne Dela Cruz, Byron Gelera, McJustine De Guzman, Warren Sto.Tomas

In den letzten Wochen beobachteten wir mehrere Linux-basierte Ransomware-Angriffe auf VMware ESXi-Server, einem Bare-Metal-Hypervisor zur Erstellung und Ausführung mehrerer virtueller Maschinen (VMs), die sich denselben Festplattenspeicher teilen. Dabei stießen wir auf Cheerscrypt, eine neue Ransomware-Familie, die es auf den EXSi-Server eines Kunden abgesehen hat, der zur Verwaltung von VMware-Dateien verwendet wird. Die Malware basiert auf dem geleakten Babuk-Source Code und wurde lediglich modifiziert und an die Ziele der Hintermänner angepasst. In der Vergangenheit wurden ESXi-Server auch von anderen bekannten Ransomware-Familien wie LockBit, Hive und RansomEXX angegriffen, weil sie eine effiziente Möglichkeit darstellen, viele Computer mit Ransomware zu infizieren.

Infektionsroutine

Die Ransomware benötigt einen Eingabeparameter, der den zu verschlüsselnden Pfad angibt, damit sie mit ihrer Infektionsroutine fortfahren kann. Das Beenden der VM-Prozesse stellt sicher, dass die Ransomware VMware-bezogene Dateien erfolgreich verschlüsseln kann. Ähnlich wie andere berüchtigte Ransomware-Familien verwendet Cheerscrypt das doppelte Erpressungsschema, um sein Opfer zur Zahlung des Lösegelds zu zwingen.

Erfolgreich verschlüsselte Dateien werden mit der Erweiterung „.Cheers“ umbenannt. dies geschieht aber bevor sie die entsprechenden Dateien verschlüsselt. Wenn also die Zugriffsberechtigung für die Datei nicht erteilt wurde, kann die Malware nicht mit der eigentlichen Verschlüsselung fortfahren. Für jedes Verzeichnis, das die Ransomware verschlüsselt, legt sie eine Lösegeldforderung mit dem Namen „How to Restore Your Files.txt“ ab. Weitere technische Details sowie die Beschreibung des Verschlüsselungsalgorithmus beinhaltet der Originalbeitrag.

Cheerscrypt mit Bezug zu Babuk

Im Gegensatz zu Cheerscrypt stellte die für die Kompromittierung von ESXi-Servern verwendete Babuk-Malware-Version sicher, dass die Dateien verschlüsselt wurden, bevor sie die Zieldateien umbenannte. Trotz der Ankündigung des Betreibers der Babuk-Ransomware sich zurückzuziehen, weil er eigenen Aussagen zufolge seine Ziele bereits erreicht hatte, zeigt Cheerscrypt, dass die Auswirkungen immer noch verschiedene Organisationen treffen können, wenn andere böswillige Akteure auf dem von ihnen weitergegebenen Quellcode aufbauen.

Alle technischen Details finden Sie im Originalbeitrag.

Fazit

ESXi wird in Unternehmen häufig zur Servervirtualisierung eingesetzt. Daher ist es ein beliebtes Ziel von Ransomware-Angriffen, da es ein Mittel ist, die Ransomware schnell auf viele Geräte zu verbreiten. Unternehmen sollten daher damit rechnen, dass böswillige Akteure ihr Malware-Arsenal aufrüsten und so viele Systeme und Plattformen wie möglich angreifen, um Geld zu verdienen.

Empfehlungen

Eine proaktive Vorgehensweise, die eine solide Cybersicherheitsabwehr gegen moderne Ransomware-Bedrohungen gewährleistet, ist für Unternehmen entscheidend, um in einer sich ständig verändernden Bedrohungslandschaft zu bestehen. Um Systeme vor ähnlichen Angriffen zu schützen, können Organisationen Sicherheits-Frameworks einrichten, die systematisch Ressourcen auf der Grundlage der Bedürfnisse eines Unternehmens zuweisen.

Bei der Entwicklung ihrer eigenen Cybersicherheitsstrategien können Unternehmen von den Frameworks profitieren, die vom Center of Internet Security und dem National Institute of Standards and Technology entwickelt wurden. Die von ihnen geschaffenen Frameworks helfen den Sicherheitsteams, Risiken zu mindern und die Gefährdung durch Bedrohungen zu minimieren. Durch die Übernahme der in den jeweiligen Rahmenwerken erörterten bewährten Verfahren können Unternehmen bei der Anpassung ihrer eigenen Strategien Zeit und Mühe sparen. Die Rahmenwerke leiten Unternehmen durch den gesamten Planungsprozess und enthalten Vorschläge für Maßnahmen, die zuerst eingeführt werden müssen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.