ClickCease 패치가 적용되지 않은 VMware ESXi 서버를 표적으로 삼는 ESXiArgs 랜섬웨어

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

패치가 적용되지 않은 VMware ESXi 서버를 표적으로 삼는 ESXiArgs 랜섬웨어

by

2023년 2월 13일 TuxCare 홍보팀

관리자, 호스팅 제공업체, 프랑스 컴퓨터 긴급 대응팀(CERT-FR)은 2년 전 원격 코드 실행 취약점에 대한 패치가 적용되지 않은 VMware ESXi 서버를 표적으로 하는 ESXiArgs라는 새로운 랜섬웨어 공격에 대해 경고했습니다.

CVE-2021-21974로 알려진 이 취약점은 인증되지 않은 공격자가 복잡도가 낮은 공격에서 악용할 수 있는 OpenSLP 서비스의 힙 오버플로 문제로 인해 발생합니다. 이 결함은 ESXi70U1c-17325551 이전의 ESXi 버전 7.x, ESXi670-202102401-SG 이전의 ESXi 버전 6.7.x 및 ESXi650-202102101-SG 이전의 ESXi 버전 6.5.x에 영향을 미칩니다.

들어오는 공격을 차단하기 위해 관리자는 업데이트되지 않은 ESXi 하이퍼바이저에서 취약한 SLP(서비스 위치 프로토콜) 서비스를 비활성화하고 가능한 한 빨리 패치를 적용하는 것이 좋습니다. 또한 패치를 적용하지 않은 시스템도 손상 징후가 있는지 검사해야 합니다.

이 랜섬웨어 캠페인에서 공격자는 손상된 ESXi 서버에서 확장자가 .vmxf, .vmx, .vmdk, .vmsd 및 .nvram인 파일을 암호화하고 암호화된 각 문서에 대해 복호화에 필요한 메타데이터가 있는 .args 파일을 생성했습니다. 그러나 몸값 지불은 제한적이었으며, 총 88,000달러에 대해 4건의 몸값 지불만 보고되었습니다. 이는 관리자가 가상 머신을 재구축하고 데이터를 무료로 복구할 수 있는 보안 연구원이 만든 VMware ESXi 복구 가이드 때문일 수 있습니다.

이 공격은 처음에는 네바다 랜섬웨어 공격과 관련이 있는 것으로 생각되었지만, 후속 조사 결과 이 공격에서 발견된 랜섬웨어 노트는 네바다 랜섬웨어와 관련이 없는 것으로 보이며 새로운 랜섬웨어 계열의 것으로 나타났습니다. 샘플이 발견되기 전까지는 암호화에 취약점이 있는지 여부를 확인할 수 없다고 말한 ID 랜섬웨어의 마이클 길레스피는 ESXiArgs 랜섬웨어를 추적하고 있습니다.

결론적으로, 관리자는 이 랜섬웨어 공격으로부터 보호하기 위해 VMware ESXi 서버를 업데이트하고 OpenSLP 서비스를 비활성화하는 것이 중요합니다. 침해가 발생한 경우 관리자는 ESXiArgs 암호화기 및 관련 셸 스크립트의 사본을 검색하여 공격을 더 잘 이해하고 데이터를 복구하기 위한 적절한 조치를 취하는 것이 좋습니다.

이 글의 출처는 BleepingComputer의 기사입니다.

요약
패치가 적용되지 않은 VMware ESXi 서버를 표적으로 삼는 ESXiArgs 랜섬웨어
기사 이름
패치가 적용되지 않은 VMware ESXi 서버를 표적으로 삼는 ESXiArgs 랜섬웨어
설명
관리자, 호스팅 제공업체, 프랑스 컴퓨터 긴급 대응팀(CERT-FR)은 ESXiArgs라는 새로운 랜섬웨어 공격에 대해 경고했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!