VMware ESXi を狙う Cheers ランサムウェア：Linux 版に加えて Windows 亜種も登場か？

New ‘Cheers’ Linux ransomware targets VMware ESXi servers

2022/05/25 BleepingComputer — 新たなランサムウェア Cheers が登場し、脆弱性のある VMware ESXi サーバーを標的として活動を開始した。VMware ESXi は、世界中の大企業で一般的に使用されている仮想化プラットフォームであるため、Cheers による暗号化が行われると、その業務に深刻な支障をきたすとされる。

これまでにも、VMware ESXi プラットフォームを標的とするランサムウェアは数多く確認されており、最近では LockBit と Hive がリストに追加されている。このリストに追加された Cheers ランサムウェアは、Trend Micro のアナリストにより発見されたが、彼らは、この新しいバリアントを Cheerscrypt と呼んでいる。

感染と暗号化

Cheers が VMware ESXi サーバに侵入すると、脅威アクターは暗号化ツールを起動し、実行中の仮想マシンを自動的に列挙し、以下の esxcli コマンドを用いてシャットダウンする。

ファイルを暗号化するときには、特に .log／.vmdk／.vmem／.vswp／.vmsn などの拡張子を持つファイルを探する。これらのファイル拡張子は、ESXi のスナップショット／ログファイル／スワップファイル／ページングファイル／仮想ディスクなどに関連している。

暗号化された各ファイルには、そのファイル名に .Cheers という拡張子が付加される。不思議なことに、ファイルのリネームは暗号化の前に行われるため、ファイル名を変更するためのアクセス権が拒否された場合には、暗号化は失敗するが、それらのファイル名は変更された状態を維持する。

この暗号化の方式は、公開鍵と秘密鍵のペアを使用して秘密鍵 (SOSEMANUK ストリーム暗号) を導出し、各暗号化ファイルに埋め込むというものだ。秘密鍵の生成に使用されたプライベート鍵は、復元できないようにワイプされる。

このランサムウェアは、暗号化するファイルを探すためにフォルダをスキャンし、各フォルダ内に How To Restore Your Files.txt という名前のランサム・ノートを作成していく。このランサム・ノートには、被害者のファイルに何が起こったかという情報と、ランサムウェアの運営元の Tor データ流出サイトや身代金交渉サイトへの、リンクが記載されている。それぞれの被害者は、交渉のために独自の Tor サイトを持つが、データリーク・サイトの Onion URL は固定されている。

BleepingComputer の調査によると、このランサムウェアの運営は、2022年3月に開始されたとされる。現在までに発見されているランサムウェアの亜種は Linux 用のみだが、Windows 用の亜種も用意されているようだ。

二重の恐喝スキームを使用

BleepingComputer は、Cheers ランサムウェア・オペレーションの、データリーク・サイトと恐喝用の Onion サイトを発見したが、このサイトにリストアップされている被害者は、現時点では4件のみである。しかし、このポータルの存在自体が、Cheers が攻撃中にデータ流出を行い、盗んだデータを二重の恐喝攻撃で使用していることを示している。

被害者の規模は準大型企業であることから、この新グループは、より大きな要求を突きつけられる規模の企業を好んで攻撃しているようだ。

BleepingComputer が調べた身代金請求書によると、脅威者は被害者に対して３日間の猶予を与え、提供する Tor サイトにアクセスさせ、動作する復号キーと引き換えに身代金の支払いを交渉している。もし、被害者が身代金を支払わない場合には、盗まれたデータは他の詐欺師に売られると脅している。そのデータに買い手がつかない場合には、漏洩ポータル・サイト上で公開され、顧客／請負業者／データ保護当局／競合他社などにさらされるという。

たしかに、VMware ESXi を狙うランサムウェアが、次から次へと登場していますね。古いところから順に並べると、2021年6月の REviul に始まり、8月の BlackMatter、2022年1月の LockBit、3月の Hive というふうに、有名所がずらっと並んでしまいます。また、2021年10月の「VMware ESXi Server を狙うランサムウェア：Python で３時間で仕事を終わらせる」では、興味深い情報が提供されています。