Линукс рансъмуер превзема ESXi инстанции
Разработчиците от компанията за интернет сигурност и отбрана Trend Micro за дейна акция към ESXi сървъри на VMware, хипервизори за основаването и ръководството на голям брой виртуални машини посредством шерването на общо устройство за предпазване. Става дума за Линукс рансъмуер с името Cheerscrypt, който нападна сървъра, виновен за ръководството на файловете на виртуалната машина.
Подобно и на други рансъмуер групи през днешния ден и тази зад Cheerscrypt употребява метода на „двойното изнудване“ – преди криптиране на файловете, атакуващата страна ги краде, след което и реализира криптиране. По този метод, с изключение на за декрриптиращ ключ, те желаят откуп и за това да не бъдат оповестени файловете в общественото пространство. В случая на Cheerscrypt, хакерите изискват да им се заплати избрана сума в период на три дни. Ако това не бъде направено, те заплашват, че ще разгласяват част от информацията, с която разполагат, а сумата за откупа ще бъде повишена.
В началото на офанзивата, киберпрестъпниците прекъсват главния развой, обвързван с работата на виртуалната машина, което открива пътя към Cheerscrypt да криптира данните. След това файлът стартира да търси файлове с разширения, като.log,.vmdk,.vmem,.vswp и.vmsn, преименува файловете и ги криптира с уголемение.Cheers. Следва основаването на записка с настояването на откуп за всяка една папка, в която опасността е основала криптирани файлове.
„Изпълнимият файл на Cheerscrypt обитава обществения ключ от обвързвана двойка ключове, като частният остава владеене на атакуващата страна. Рансъмуерът употребява поточен код SOSEMANUK, с цел да криптира файловете, и ECDH, с цел да генерира SOSEMANUK ключа. За криптирането на всеки файл бива генерирана двойка публичен-частен ключ чрез /dev/urandom. След това, Cheerscrypt употребява вграденият обществен ключ и генерираният частен ключ, с цел да сътвори скришен ключ, който ще се употребява, като SOSEMANUK ключ“, пишат Trend Micro, които допълват, че механизма, употребен от хакерите прави невероятно декриптирането на данните без достъп до частния ключ, държан от създателите на Cheerscrypt.
Подобно и на други рансъмуер групи през днешния ден и тази зад Cheerscrypt употребява метода на „двойното изнудване“ – преди криптиране на файловете, атакуващата страна ги краде, след което и реализира криптиране. По този метод, с изключение на за декрриптиращ ключ, те желаят откуп и за това да не бъдат оповестени файловете в общественото пространство. В случая на Cheerscrypt, хакерите изискват да им се заплати избрана сума в период на три дни. Ако това не бъде направено, те заплашват, че ще разгласяват част от информацията, с която разполагат, а сумата за откупа ще бъде повишена.
В началото на офанзивата, киберпрестъпниците прекъсват главния развой, обвързван с работата на виртуалната машина, което открива пътя към Cheerscrypt да криптира данните. След това файлът стартира да търси файлове с разширения, като.log,.vmdk,.vmem,.vswp и.vmsn, преименува файловете и ги криптира с уголемение.Cheers. Следва основаването на записка с настояването на откуп за всяка една папка, в която опасността е основала криптирани файлове.
„Изпълнимият файл на Cheerscrypt обитава обществения ключ от обвързвана двойка ключове, като частният остава владеене на атакуващата страна. Рансъмуерът употребява поточен код SOSEMANUK, с цел да криптира файловете, и ECDH, с цел да генерира SOSEMANUK ключа. За криптирането на всеки файл бива генерирана двойка публичен-частен ключ чрез /dev/urandom. След това, Cheerscrypt употребява вграденият обществен ключ и генерираният частен ключ, с цел да сътвори скришен ключ, който ще се употребява, като SOSEMANUK ключ“, пишат Trend Micro, които допълват, че механизма, употребен от хакерите прави невероятно декриптирането на данните без достъп до частния ключ, държан от създателите на Cheerscrypt.
Източник: kaldata.com
КОМЕНТАРИ