패치가 적용되지 않은 VMware ESXi 서버를 표적으로 삼는 ESXiArgs 랜섬웨어
관리자, 호스팅 제공업체, 프랑스 컴퓨터 긴급 대응팀(CERT-FR)은 2년 전 원격 코드 실행 취약점에 대한 패치가 적용되지 않은 VMware ESXi 서버를 표적으로 하는 ESXiArgs라는 새로운 랜섬웨어 공격에 대해 경고했습니다.
CVE-2021-21974로 알려진 이 취약점은 인증되지 않은 공격자가 복잡도가 낮은 공격에서 악용할 수 있는 OpenSLP 서비스의 힙 오버플로 문제로 인해 발생합니다. 이 결함은 ESXi70U1c-17325551 이전의 ESXi 버전 7.x, ESXi670-202102401-SG 이전의 ESXi 버전 6.7.x 및 ESXi650-202102101-SG 이전의 ESXi 버전 6.5.x에 영향을 미칩니다.
들어오는 공격을 차단하기 위해 관리자는 업데이트되지 않은 ESXi 하이퍼바이저에서 취약한 SLP(서비스 위치 프로토콜) 서비스를 비활성화하고 가능한 한 빨리 패치를 적용하는 것이 좋습니다. 또한 패치를 적용하지 않은 시스템도 손상 징후가 있는지 검사해야 합니다.
이 랜섬웨어 캠페인에서 공격자는 손상된 ESXi 서버에서 확장자가 .vmxf, .vmx, .vmdk, .vmsd 및 .nvram인 파일을 암호화하고 암호화된 각 문서에 대해 복호화에 필요한 메타데이터가 있는 .args 파일을 생성했습니다. 그러나 몸값 지불은 제한적이었으며, 총 88,000달러에 대해 4건의 몸값 지불만 보고되었습니다. 이는 관리자가 가상 머신을 재구축하고 데이터를 무료로 복구할 수 있는 보안 연구원이 만든 VMware ESXi 복구 가이드 때문일 수 있습니다.
이 공격은 처음에는 네바다 랜섬웨어 공격과 관련이 있는 것으로 생각되었지만, 후속 조사 결과 이 공격에서 발견된 랜섬웨어 노트는 네바다 랜섬웨어와 관련이 없는 것으로 보이며 새로운 랜섬웨어 계열의 것으로 나타났습니다. 샘플이 발견되기 전까지는 암호화에 취약점이 있는지 여부를 확인할 수 없다고 말한 ID 랜섬웨어의 마이클 길레스피는 ESXiArgs 랜섬웨어를 추적하고 있습니다.
결론적으로, 관리자는 이 랜섬웨어 공격으로부터 보호하기 위해 VMware ESXi 서버를 업데이트하고 OpenSLP 서비스를 비활성화하는 것이 중요합니다. 침해가 발생한 경우 관리자는 ESXiArgs 암호화기 및 관련 셸 스크립트의 사본을 검색하여 공격을 더 잘 이해하고 데이터를 복구하기 위한 적절한 조치를 취하는 것이 좋습니다.
이 글의 출처는 BleepingComputer의 기사입니다.