Cheerscrypt, un nouveau ransomware qui cible les serveurs VMware ESXi
Il est de plus en plus fréquent que les ransomwares s'en prennent aux serveurs VMware ESXi, et cette tendance se confirme une nouvelle fois avec ce nouveau ransomware baptisé Cheerscrypt. Faisons le point.
Les hyperviseurs VMware sont une cible favorite pour les pirates informatiques, car ils sont très populaires à l'échelle mondiale, aussi bien dans les PME que dans les grandes entreprises, et affecter un hyperviseur permet de toucher X machines virtuelles donc l'impact est fort. D'ailleurs, plusieurs ransomwares sont déjà "compatibles" avec les serveurs VMware ESXi afin de réaliser des attaques, on peut citer LockBit et Hive. Généralement, ce sont des ransomwares pour Linux qui ont une variante pour VMware ESXi, un système basé sur Linux, justement.
Les chercheurs en sécurité de chez Trend Micro ont fait la découverte de ce nouveau ransomware baptisé Cheerscrypt et pour lequel ils ont mis en ligne un rapport qui détaille le mode opératoire.
À partir du moment où un hyperviseur VMware est compromis, l'outil de chiffrement est exécuté sur le serveur et à l'aide d'une commande esxcli, les machines virtuelles vont être énumérées et arrêtées.
esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep 'World ID'|awk '{print $3}')
Au moment de chiffrer les fichiers du datastore, il s'intéresse particulièrement aux fichiers correspondants aux machines virtuelles, avec les extensions suivantes : .log, .vmdk, .vmem, .vswp et .vmsn. On remarque notamment le format VMDK correspondant aux disques virtuels des machines virtuelles.
Ce qui est surprenant, c'est que les fichiers sont renommés en ".cheers" avant même d'être chiffrés, donc si le renommage ne fonctionne pas, le chiffrement échouera. En complément, un fichier nommé "How To Restore Your Files.txt" sera déposé dans chaque dossier, avec les habituelles instructions et notamment un lien vers le site Tor (adresse en .onion) des pirates informatiques afin d'entrer en contact.
Si l'on se réfère à ces notes, les victimes auraient trois jours pour accéder au site sur le réseau Tor et payer la rançon afin d'obtenir la clé de déchiffrement. Dans le cas où la rançon n'est pas payée, les données seront revendues sur le marché noir, donc on parle bien ici de double extorsion, car les données sont exfiltrées, et pas seulement chiffrées. Si les données ne trouvent pas preneur, elles seront tout simplement mises en ligne.
D'après le site Bleeping Computer, le site serait actif depuis mars 2022 et il y aurait 4 victimes pour le moment, dont un hôpital belge.
