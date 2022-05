Il nuovo ransomware basato su Linux prende di mira i server VMware. Cheerscript impianta malware a doppia estorsione sui server ESXi

Ebbene si, il nuovo ransomware basato su Linux ha preso di mira i server VMware. I ricercatori di Trend Micro hanno scoperto questi “malware” che vengono utilizzati per attaccare i server VMware ESXi. Questi sono un hypervisor bare-metal per la creazione e l’esecuzione di diverse macchine virtuali (VM) che condividono lo stesso spazio di archiviazione su disco rigido.

Cheerscrypt, il ransomware basato su Linux

È chiamato Cheerscrypt, il malware che sta seguendo le orme di altri programmi ransomware (clicca qui per altre informazioni), come LockBit, Hive e RansomEXX, che hanno trovato ESXi un modo efficiente per infettare molti computer contemporaneamente con payload dannosi.

Dichiarazioni

Roger Grimes, un sostenitore della difesa e della sensibilizzazione alla sicurezza KnowBe4, spiega che la maggior parte delle organizzazioni mondiali opera utilizzando macchine virtuali VMware.

Rende il lavoro degli aggressori ransomware molto più semplice perché possono crittografare un server, il server VMware, e quindi crittografare ogni macchina virtuale guest in esso contenuta. Un comando di compromissione e crittografia può facilmente crittografare da decine a centinaia di altri computer virtualmente eseguiti contemporaneamente.

Continua Grimes aggiungendo che

La maggior parte dei negozi di macchine virtuali, utilizza una prodotto per eseguire il backup di tutti i server guest. Quindi trovare ed eliminare o danneggiare un repository di backup, “uccide” il backup per tutti i server guest che sono collegati, contemporaneamente.

Come funziona?

I ricercatori di Trend Micro, Arianne Dela Cruz, Byron Gelera, McJustine De Guzman, spiegano in un blog aziendale come funziona Cheerscrypt. Il malware, dopo aver acquisito un parametro di input che specifica un percorso di crittografia, emette un comando che termina tutti i processi della VM per assicurarsi che possa crittografare tutti i suoi file.

La banda dietro Cheerscrypt usa una tecnica di “doppia estorsione” per estrarre denaro dai suoi obiettivi.

Allarme di sicurezza!!!

dichiara il messaggio di riscatto degli aggressori, che continua con

Abbiamo hackerato la tua azienda con successo. Tutti i file sono stati rubati e crittografati da noi. Se desideri ripristinare i tuoi file o evitare perdite di file, contattaci.

Crittografia

I ricercatori osservano che Cheerscrypt utilizza la tecnologia di crittografia pubblica/privata per codificare i file sul server di un obiettivo. Il file eseguibile del ransomware contiene una chiave pubblica, mentre l’attaccante detiene la chiave privata necessaria per de-crittografare i file. Questi, poi vengono crittografati utilizzando il codice di flusso SOSEMANUK, mentre ECDH viene utilizzato per creare la chiave SOSEMANUK.

ESXi è un bersaglio popolare per gli attacchi ransomware. Questo perché, è un mezzo per diffondere rapidamente il ransomware su molti dispositivi contemporaneamente.

Man mano che sempre più organizzazioni migliorano la propria sicurezza adottando l’autenticazione a più fattori con la biometria, stanno effettivamente bloccando la porta d’ingresso agli hacker,

afferma John Gunn, CEO di Token, che però continua affermando:

Questo non significa cattivi si arrendano. Invece cambieranno i loro metodi in attacchi come questo.

E voi cosa ne pensate di questo nuovo ransomware basato su Linux? Dateci la vostra lasciando un commento qui sotto e continuate a seguire tuttoteK per restare sempre informati sul mondo delle tecnologia (e non solo!).