El nuevo ransomware de Linux 'Cheers' se dirige a los servidores VMware ESXi

Un nuevo ransomware llamado 'Cheers' apareció en el espacio del cibercrimen y comenzó sus operaciones apuntando a servidores VMware ESXi vulnerables.

VMware ESXi es una plataforma de virtualización comúnmente utilizada por grandes organizaciones en todo el mundo, por lo que cifrarlas suele causar graves interrupciones en las operaciones de una empresa.

Hemos visto muchos grupos de ransomware apuntando a la plataforma VMware ESXi en el pasado, y las incorporaciones más recientes son  LockBit  y  Hive .

La adición del ransomware Cheers al club fue descubierta por los analistas de  Trend Micro , quienes llaman a la nueva variante 'Cheerscrypt'.

Infección y encriptación

Una vez que un servidor VMware ESXi se ve comprometido, los actores de amenazas inician el cifrador, que enumerará automáticamente las máquinas virtuales en ejecución y las apagará con el siguiente comando esxcli.


Al cifrar archivos, busca específicamente archivos con las siguientes extensiones .log, .vmdk, .vmem, .vswp y .vmsn. Estas extensiones de archivo están asociadas con instantáneas de ESXi, archivos de registro, archivos de intercambio, archivos de paginación y discos virtuales.

Cada archivo encriptado tendrá la extensión " .Cheers " adjunta a su nombre de archivo. Curiosamente, el cambio de nombre de los archivos ocurre antes del cifrado, por lo que si se deniega el permiso de acceso para cambiar el nombre de un archivo, el cifrado fallará, pero el archivo seguirá siendo renombrado.

El esquema de cifrado utiliza un par de claves públicas y privadas para derivar una clave secreta (cifrado de flujo SOSEMANUK) y la incrusta en cada archivo cifrado. La clave privada utilizada para generar la clave secreta se borra para evitar la recuperación.


Mientras escanea carpetas en busca de archivos para cifrar, el ransomware creará notas de rescate llamadas ' Cómo restaurar sus archivos.txt ' en cada carpeta.

Estas notas de rescate incluyen información sobre lo que sucedió con los archivos de la víctima y enlaces a los sitios de fuga de datos Tor de la operación de ransomware y sitios de negociación de rescate.

Cada víctima tiene un sitio Tor único para sus negociaciones, pero la URL del sitio de fuga de datos Onion es estática.


Según la investigación de BleepingComputer sobre la nueva operación, parece haberse lanzado en marzo de 2022.

Si bien hasta la fecha solo se ha encontrado una variante de ransomware para Linux, es probable que también haya disponible una variante para Windows.

Utiliza esquema de doble extorsión

BleepingComputer encontró el sitio Onion de fuga de datos y extorsión de víctimas para la operación de ransomware Cheers, que enumera solo cuatro víctimas por ahora.

Sin embargo, la existencia misma de este portal indica que Cheers está realizando una filtración de datos durante los ataques y utilizando los datos robados en ataques de doble extorsión.


Las víctimas son de un tamaño semi-grande, por lo que parece que el nuevo grupo prefiere golpear a las empresas que están en condiciones de cubrir mayores demandas.

Según las notas de rescate que investigamos, los actores de amenazas les dan a sus víctimas tres días para acceder al sitio Tor provisto para negociar el pago del rescate a cambio de una clave de descifrado que funcione.

Si las víctimas no pagan un rescate, los actores de amenazas dicen que venderán los datos robados a otros delincuentes.

Si nadie está interesado en comprar los datos, se publican en el portal de filtraciones y quedan expuestos a clientes, contratistas, autoridades de protección de datos, competidores y otros actores de amenazas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta