Ransomware baru bernama ‘Cheers’ telah muncul di ruang kejahatan dunia maya dan telah memulai operasinya dengan menargetkan server VMware ESXi yang rentan.
VMware ESXi adalah platform virtualisasi yang biasa digunakan oleh organisasi besar di seluruh dunia, jadi mengenkripsi mereka biasanya menyebabkan gangguan parah pada operasi bisnis.
Kami telah melihat banyak grup ransomware yang menargetkan platform VMware ESXi di masa lalu, dengan tambahan terbaru adalah LockBit dan Hive.
Penambahan ransomware Cheers ke klub ditemukan oleh analis di Trend Micro, yang menyebut varian baru ‘Cheerscrypt’.
Setelah server VMware ESXi disusupi, pelaku ancaman meluncurkan encryptor, yang secara otomatis akan menghitung mesin virtual yang sedang berjalan dan mematikannya menggunakan perintah esxcli berikut.
esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)
Saat mengenkripsi file, ia secara khusus mencari file dengan ekstensi .log, .vmdk, .vmem, .vswp, dan .vmsn berikut. Ekstensi file ini terkait dengan snapshot ESXi, file log, file swap, file paging, dan disk virtual.
Setiap file terenkripsi akan memiliki ekstensi “.Cheers” yang ditambahkan ke nama filenya. Anehnya, penggantian nama file terjadi sebelum enkripsi, jadi jika izin akses untuk mengubah nama file ditolak, enkripsi akan gagal, tetapi file akan tetap diganti namanya.
Skema enkripsi menggunakan sepasang kunci publik dan pribadi untuk mendapatkan kunci rahasia (SOSEMANUK stream cipher) dan menyematkannya di setiap file terenkripsi. Kunci pribadi yang digunakan untuk membuat kunci rahasia dihapus untuk mencegah pemulihan.
Saat memindai folder untuk file yang akan dienkripsi, ransomware akan membuat catatan tebusan bernama ‘Cara Mengembalikan File Anda.txt’ di setiap folder.
Catatan tebusan ini mencakup informasi tentang apa yang terjadi pada file korban dan tautan ke situs kebocoran data Tor operasi ransomware dan situs negosiasi tebusan.
Setiap korban memiliki situs Tor unik untuk negosiasi mereka, tetapi URL situs kebocoran data Onion bersifat statis.
Sumber: BleepingComputer
Berdasarkan penelitian BleepingComputer ke dalam operasi baru, tampaknya telah diluncurkan pada Maret 2022.
BleepingComputer menemukan kebocoran data dan pemerasan korban situs Onion untuk operasi ransomware Cheers, yang saat ini hanya mencantumkan empat korban.
Namun, keberadaan portal ini menunjukkan bahwa Cheers melakukan eksfiltrasi data selama serangan dan menggunakan data yang dicuri dalam serangan pemerasan ganda.
Sumber: BleepingComputer
Berdasarkan catatan tebusan yang kami periksa, pelaku ancaman memberi korbannya tiga hari untuk mengakses situs Tor yang disediakan untuk menegosiasikan pembayaran tebusan sebagai ganti kunci dekripsi yang berfungsi.
Jika korban tidak membayar uang tebusan, pelaku ancaman mengatakan mereka akan menjual data yang dicuri ke penjahat lain.
Jika tidak ada yang tertarik untuk membeli data, data tersebut akan dipublikasikan di portal kebocoran dan diekspos ke klien, kontraktor, otoritas perlindungan data, pesaing, dan pelaku ancaman lainnya.
Sumber: Bleeping Computer
