Linux Tabanlı Fidye Yazılımı Cheerscrypt VMware ESXi Sunucularına Saldırıyor

Siber suç evreninde 'Cheers' adlı yeni bir fidye yazılımı saldırısının ortaya çıkması söz konusu. Güvenlik açığı olduğu tespit edilen VMware ESXi sunucularını hedefler.

Dünyada VMware ESXi gibi sanallaştırma platformlarını kullanan birçok büyük kuruluş ve büyük şirket var, bu da şifrelemelerini onları kullanan şirketlerin iş operasyonlarında ciddi bir aksama haline getiriyor.

VMware ESXi platformu, geçmişte birçok fidye yazılımı grubu tarafından hedeflendi ve en yenileri şunlardı:

• LockBit
• Hive

Gruba yeni eklenenler arasında 'Cheerscrypt' fidye yazılımı (diğer adıyla Cheers) var. Trend Micro'daki güvenlik analistleri yepyeni fidye yazılımını keşfetti.

Enfeksiyon Ve Şifreleme

Bir VMware ESXi sunucusunun güvenliği ihlal edildiğinde tehdit aktörlerinin şifreleyiciyi otomatik olarak başlatması mümkündür.

Bu yapıldıktan sonra, şifrelenmiş sanal makineler şifreleme algoritması kullanılarak numaralandırılır. Daha sonra sanal makineleri sonlandırmak için esxcli'ye benzer bir komut kullanılır.

Şifreleme işlemi özellikle aşağıda listelenen aşağıdaki uzantılara sahip dosyaları aramayı amaçlamaktadır:

• .log
• .vmdk
• .vmem
• .vswp
• .vmsn

Anlık görüntülere ve günlük dosyalarına ek olarak, ESXi sanal diskler, disk belleği dosyaları ve takas dosyaları içerir. Şifrelenmiş her dosyayı bir Cheers dosyası olarak tanımlamak için, uzantı ".Cheers" dosya adına eklenir.

Yeniden adlandırıldıktan sonra dosyanın şifrelenip şifrelenmediği önemli olmayabilir. Ancak, erişim izinleri reddedilirse dosya yeniden adlandırılmaya devam eder.

Dosyaları şifrelemek için, fidye yazılımı SOSEMANUK stream cipher kullanır. SOSEMANUK anahtarını oluşturmak için ECDH şifreleme algoritmasını kullanır. Her dosyayı şifreleme işlemi sırasında, yazılım Linux'un /dev/urandom dosyasından bir çift ECDH genel-özel anahtar üretir.

Kötü amaçlı yazılıma katıştırılmış ortak anahtar ile katıştırılmış anahtardan oluşturulan özel anahtarın karıştırılması sonucunda SOSEMANUK anahtarı olarak kullanılacak bir gizli anahtar oluşturulur.

Fidye Notu

Şifrelenecek dosyalar için taranan her klasörde, fidye yazılımı ödeme talep etmek için bir fidye notu oluşturur. Fidye notu, ele geçirilen tüm dosyaların nasıl geri yüklenebileceğini açıklayan 'How To Restore Your Files.txt' başlığını taşıyor.

Bu fidye notlarında, kurbana dosyalarına ne olduğu anlatılır. Ek olarak, fidye yazılımı operasyonlarıyla bağlantılı Tor veri sızıntısı sitelerinin ve fidye anlaşması web sitelerinin nerede bulunacağına dair bilgiler de vardır.

Onion veri sızıntısı sitesine karşılık gelen bir URL vardır ve her kurbanın kendi Tor sitesi veya müzakere sayfası vardır.

Öneriler

Trendmicro'daki siber güvenlik uzmanları birkaç saldırı azaltma önerisi verdi ve aşağıda bu öneriler belirtilmiştir:

• Sağlam siber güvenlik savunmaları dağıtın.
• Her zaman sağlam güvenlik AV araçları kullanın.
• Güvenlik çerçeveleri oluşturduğunuzdan emin olun.
• Kendi siber güvenlik stratejilerinizi geliştirin.
• En iyi güvenlik uygulamalarını benimseyin.
• Her zaman iki faktörlü kimlik doğrulama kullanın.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.