VMware ESXi 서버를 노리는 새로운 'Cheers' Linux 랜섬웨어

'Cheers'라는 새로운 랜섬웨어가 사이버 범죄 공간에 나타나 취약한 VMware ESXi 서버를 대상으로 활동을 시작했습니다.

VMware ESXi는 전 세계적으로 대규모 조직에서 일반적으로 사용하는 가상화 플랫폼이므로 일반적으로 이를 암호화하면 비즈니스 운영에 심각한 지장을 초래합니다.

우리는 과거에 VMware ESXi 플랫폼을 표적으로 하는 많은 랜섬웨어 그룹을 보아왔고 가장 최근에 추가된 것은 LockBit 및 Hive입니다.

클럽에 Cheers 랜섬웨어가 추가된 것은 Trend Micro의 분석가에 의해 발견되었으며 새로운 변종을 'Cheerscrypt'라고 부릅니다.

 

감염 및 암호화
VMware ESXi 서버가 손상되면 위협 행위자는 암호화기를 실행하여 실행 중인 가상 머신을 자동으로 열거하고 다음 esxcli 명령을 사용하여 종료합니다.

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

파일을 암호화할 때 특히 다음 .log, .vmdk, .vmem, .vswp 및 .vmsn 확장자를 가진 파일을 찾습니다. 이러한 파일 확장자는 ESXi 스냅샷, 로그 파일, 스왑 파일, 페이징 파일 및 가상 디스크와 연결됩니다.

암호화된 각 파일에는 파일 이름에 ".Cheers" 확장자가 추가됩니다. 이상하게도 파일 이름 변경은 암호화 전에 이루어지므로 파일 이름 변경에 대한 액세스 권한이 거부되면 암호화는 실패하지만 파일 이름은 계속 변경됩니다.

암호화 체계는 한 쌍의 공개 및 개인 키를 사용하여 비밀(SOSEMANUK 스트림 암호) 키를 ​​파생하고 암호화된 각 파일에 포함합니다. 비밀 키 생성에 사용된 개인 키는 복구를 방지하기 위해 삭제됩니다.​

폴더에서 암호화할 파일을 검색하는 동안 랜섬웨어는 각 폴더에 'How To Restore Your Files.txt'라는 랜섬 노트를 생성합니다.

이 랜섬 노트에는 피해자의 파일에 발생한 정보와 랜섬웨어 작업의 Tor 데이터 유출 사이트 및 랜섬 협상 사이트에 대한 링크가 포함되어 있습니다.

각 피해자는 협상을 위한 고유한 Tor 사이트를 가지고 있지만 데이터 유출 사이트 Onion URL은 정적입니다.

 

새로운 작업에 대한 BleepingComputer의 연구에 따르면 2022년 3월에 출시된 것으로 보입니다.

현재까지 Linux 랜섬웨어 변종만 발견되었지만 Windows 변종도 사용할 수 있습니다.

 

이중 갈취 방식을 사용합니다.
BleepingComputer는 Cheers 랜섬웨어 작업에 대한 데이터 유출 및 피해자 갈취 Onion 사이트를 발견했으며 현재로서는 4명의 피해자만 나열되어 있습니다.

그러나 이 포털의 존재 자체가 Cheers가 공격 중 데이터 유출을 수행하고 이중 갈취 공격에서 도난당한 데이터를 사용하고 있음을 나타냅니다.
 

피해 규모는 준대형이어서 새로운 집단은 더 큰 수요를 감당할 수 있는 위치에 있는 기업을 공격하는 것을 선호하는 것으로 보인다.

우리가 조사한 몸값 기록에 따르면, 위협 행위자는 피해자에게 제공된 Tor 사이트에 액세스하여 작동하는 암호 해독 키를 받는 대가로 몸값 지불을 협상할 수 있는 3일의 시간을 줍니다.

피해자가 몸값을 지불하지 않으면 위협 행위자는 훔친 데이터를 다른 사기꾼에게 판매할 것이라고 말합니다.

아무도 데이터를 구매하는 데 관심이 없으면 누출 포털에 게시되고 클라이언트, 계약자, 데이터 보호 당국, 경쟁업체 및 기타 위협 행위자에게 노출됩니다.