Una nuova criticità scoperta dai laboratori Trend Micro colpisce i server di tipo ESXi di VMware
La scoperta di nuovi Ransomware Linux-based che colpiscono in particolare i server VMware di tipo ESXi, ovvero hypervisor in grado di eseguire multiple istanze di macchine virtuali che condividono le risorse di storage. Il ransomware è chiamato Cheerscrypt ricalca a grandi linee il comportamento di altri ransomware, come LockBit, Hive, RansomEXX che hanno trovato ESXi come il modo perfetto per infettare oiù computer contemporaneamente, e poichè condividono gli stessi dischi, tutto è reso più facile; moltissime organizzazioni e aziende per risparmiare sui costi hardware si avvalgono dell'utilizzo di macchine virtuali e VMware è sicuramente il leader di mercato; come spiega Roger Grimes l'attacco consiste nell'infettare primariamente il server e successivamente ogni macchina virtuale ospite (anche centinaia), ed il fatto che sia compromesso il server di fatto compromette anche tutte le immagini di Backup. Cheerscrypt utilizza il meccanismo della doppia estorsione; una volta impostato il percorso dove salvare il disco criptato, il malware termina tutte le istanze delle macchine virtuali in modo da poterle criptare. e a processo ultimato viene visualizzato:
"Security Alert!!!"
"We hacked your company successfully. All files have been stolen and encrypted by us. If you want to restore your files or avoid file leaks, please contact us."
Cheerscrypt utilizza la tecnologia di criptazione con doppia chiave pubblica/privata; l'eseguibile contiene la chiave pubblica, mentre gli hacker detengono la chiave privata necessaria per decriptare i files, criptati utilizzando lo schema SOSEMANUK mentre per creare la chiave SOSEMANUK è utilizzato ECDH. L'architettura a server centralizzato, così diffusa in ambito aziendale in particolare ESXi per la virtualizzazione facilita le cose per la diffusione del ransomware; la beffa è che dopo aver in qualche modo chiuso la porta con efficaci metodi quali la doppia autenticazione lato client, tutto sembra essere vanificato dalla finestra, ovvero il lato server, obiettivo sempre più diffuso per gli attacchi ramsomware.