랜섬웨어, 가상 머신 디스크를 암호화하기 위해 VMWare ESXi 취약점 악용해

 

 

Ransomware operators exploit VMWare ESXi flaws to encrypt disks of VMs

 

보안 연구원들이 가상 하드 디스크를 암호화하기 위해 VMWare ESXi 취약점인 CVE-2019-5544, CVE-2020-3992를 악용하는 랜섬웨어 공격에 대해 경고했습니다.

 

공격자들은 기업 환경에서 사용하는 가상 머신의 디스크를 암호화하기 위해 VMWare ESXi 익스플로잇을 악용하고 있는 것으로 나타났습니다.

 

지난 10월, RansomExx 랜섬웨어 그룹(Defray777로도 알려짐)은 그들의 공격을 확장시켜 VMWare 가상 머신을 노리기 시작했습니다.

 

피해자들은 그들의 가상 머신이 갑자기 종료된 후 데이터 저장소의 모든 파일(vmdk, vmx, 로그)이 암호화되어 있었다고 밝혔습니다.

 

또한 공격자는 데이터스토어 레벨에 랜섬노트를 남겨두었다고 전했습니다.

 

유명 사이버 보안 연구원인 Kevin Beaumont 또한 이 소식을 확인했습니다. 그는 공격자가 가상 머신을 중단시키고 하이퍼바이저에서 직접 VMDK를 암호화하여 윈도우 OS의 보안을 우회하기 위해 취약점 2가지를 악용한다고 밝혔습니다.

 

 

<이미지 출처 : https://twitter.com/GossiTheDog/status/1324896051128635392>

 

 

VMware ESXi의 두 취약점(CVE-2019-5544, CVE-2020-3992) 모두 SLP에 영향을 미칩니다. 이는 소프트웨어에서 네트워크에 리소스를 찾을 수 있도록 하는 SLP의 OpenSLP 오픈소스 구현에도 존재합니다.

 

CrowdStrike의 전문가인 Sergei Frankoff, Eric Loui 또한 Sprite Spider 랜섬웨어 운영자가 2020년 7월부터 ESXi 호스트를 노리기 시작했다고 보고했습니다.

 

ZDNet은 현재 RansomExx 랜섬웨어 운영자만 이 문제를 악용 중인 것으로 파악되었으나, Babuk Locker 랜섬웨어 운영자들 또한 유사한 공격 체인을 구현했으며 아직까지 실제 사례는 발견되지 않았다고 보도했습니다.

 

시스템 관리자는 설치된 VMWare ESXi를 업데이트 하거나, SLP 지원을 비활성화할 것을 권장합니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/114124/malware/ransomware-attack-vmware-esxi.html

https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/