기술 지원
문서
로그인
문의하기
SentinelOne, VMWare ESXi를 표적으로 하는 공격 증가 경고
2023년 5월 26일 TuxCare 홍보팀
SentinelOne은 VMware ESXi 시스템 전용으로 제작된 새로운 랜섬웨어 제품군의 증가에 대한 경고를 발표했습니다. 이러한 위험한 앱은 유포되는 Babuk 소스 코드를 기반으로 합니다.
2021년 1월에 처음 발견된 바부크 랜섬웨어 패밀리는 여러 조직을 공격하면서 빠르게 유명세를 탔습니다. 하지만 이 멀웨어의 운영자 중 한 명이 2021년 9월에 멀웨어의 소스 코드를 온라인에 게시했습니다. 이 침해는 보안 연구원들이 두 달도 채 되지 않아 무료 복호화 도구를 만들 수 있도록 하는 데 결정적인 역할을 했습니다.
위협 행위자들은 공개된 소스 코드를 사용하여 수많은 새로운 랜섬웨어 변종을 생성했습니다. 그중에는 Windows와 Linux를 모두 실행하는 ESXi 서버를 공격할 수 있는 RTM Locker, Rook, Rorschach(BabLock이라고도 함)가 있습니다.
SentinelOne에 따르면, 작년에 최소 10개의 고유한 랜섬웨어 패밀리가 형성되었으며, 이 패밀리는 바북 소스 코드를 악용하여 특히 VMware ESXi 머신을 표적으로 삼고 있습니다. 또한 House's Mario, Play, Cylance, Dataf Locker, Lock4 및 XVGV와 같은 소규모 랜섬웨어 조직이 이 코드를 사용했습니다. 우려스러운 점은 Alphv/BlackCat, Black Basta, Conti, Lockbit, REvil과 같은 잘 알려진 랜섬웨어 조직이 ESXi 배포를 공격 대상으로 삼는 것이 감지되었다는 것입니다.
센티넬원은 이어서 유출된 바북 코드와 겹치는 부분이 Conti 및 REvil ESXi 락커에만 나타난다고 설명했습니다. 이는 두 그룹 간의 연결 가능성을 보여줍니다. 사이버 보안 회사에 따르면 이러한 랜섬웨어 활동은 ESXi 락커 프로젝트를 공동 개발자에게 아웃소싱하거나 협력을 위해 공유 코드를 사용했을 수 있습니다. 또한, 동일한 오픈 소스 Sosemanuk 암호화 기술을 사용한다는 점을 제외하면 ESXiArgs 락커는 Babuk과 거의 유사점이 없습니다.
SentinelOne에 따르면, 위협 공격자들은 점점 더 바북 코드를 ESXi 및 Linux 락커 생성의 기반으로 사용하고 있습니다. 또한, NAS 락커에 사용되는 프로그래밍 언어인 Golang이 위협 행위자들 사이에서 인기를 얻고 있기 때문에 향후 공격자들이 Babuk 그룹의 Go 기반 NAS 락커를 채택할 수 있다고 경고합니다. 공격 대상이 되는 NAS 시스템은 대부분 Linux 기반이기 때문에 NAS 락커를 사용하면 공격자에게 랜섬웨어 공격을 시작하기 위한 쉽고 효과적인 도구를 제공할 수 있습니다.
그러나 이러한 공격의 결과는 여러 랜섬웨어 조직 간의 협업과 코드 공유를 통해 해커가 금전적 이득을 얻기 위해 사용하는 전략이 증가하고 있음을 보여 주므로 ESXi 설치를 넘어서는 것입니다.
이 글의 출처는 SecurityWeek의 기사입니다.
