มีแรนซั่มแวร์อุบัติใหม่ชื่อ “Cheers” ที่เริ่มเล่นงานชาวบ้านโดยเริ่มจากเซิร์ฟเวอร์ VMware ESXi ซึ่งเป็นแพลตฟอร์มเวอร์ช่วลไลเซชั่นที่นิยมใช้กันอย่างแพร่หลายทั่วโลก นั่นหมายความว่าถ้าโดนเข้ารหัสล็อกไว้ก็จะกระทบกับธุรกิจอย่างร้ายแรงในวงกว้าง
ก่อนหน้านี้มีแรนซั่มแวร์มากหน้าหลายตาที่เลือก VMware ESXi เป็นเหยื่อด้วยเช่นกัน อย่างตัวก่อนหน้าเช่น LockBit และ Hive การที่มีหน้าใหม่อย่าง Cheers เข้าร่วมสังฆกรรมนี้ด้วยนั้นถูกค้นพบโดยนักวิเคราะห์จาก Trend Micro
เมื่อเซิร์ฟเวอร์ VMware ESXi โดนเล่นงานแล้ว ผู้โจมตีจะรันตัวเข้ารหัสที่จะเสาะหารายการเวอร์ช่วลแมชชีนที่ทำงานอยู่ พร้อมทั้งสั่งปิดตัวลงด้วยคำสั่งอย่าง esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)
จากนั้นเวลาที่จะเลือกเข้ารหัสไฟล์ก็จะมองหาสกุล .log, .vmdk, .vmem, .vswp, และ .vmsn ที่เป็นไฟล์เกี่ยวกับสแนปช็อต, ไฟล์ Log, ไฟล์สวอป, ไฟล์เพจจิ้ง, และเวอร์ช่วลดิสก์ตามลำดับ แล้วแปลงสกุลเป็น “.Cheers”
อ่านเพิ่มเติมที่นี่ – Bleepingcomputer
//////////////////
