상세 컨텐츠
본문
Sodinokibi ransomware's new Linux encryptor targets ESXi virtual machines
Sodinokibi 랜섬웨어가 리눅스용 암호화 툴을 통해 VMware ESXi 가상 머신을 노리고 있는 것으로 나타났습니다.
많은 기업에서 더욱 쉬운 백업, 기기 관리, 효율적인 리소스 사용을 위해 가상 머신을 사용하기 시작함에 따라 랜섬웨어 공격자들이 VM에서 사용하는 스토리지를 대량으로 암호화하기 위한 툴을 만들어내고 있습니다.
지난 5월, Advanced Intel의 Yelisey Boguslavskiy는 NAS 기기에서도 동작하는 암호화 툴의 리눅스 버전을 공개했음을 확인하는 Sodinokibi의 포럼 게시물을 공유했습니다.
또한 보안 연구원인 MalwareHunterTeam이 ESXi 서버를 공격하는데 사용할 수 있는 Sodinokibi 랜섬웨어의 리눅스 버전을 발견했습니다.
이 새로운 Sodinokibi의 리눅스 변종을 분석한 Intel의 Vitali Kremez는 해당 변종이 ELF64 실행파일이며, 일반적인 윈도우 실행파일에서 사용하는 것과 동일한 구성 옵션을 포함한다고 밝혔습니다.
Kremex는 리눅스 변종이 출시된 이후 공개된 것이 이번이 처음이며, 이 변종이 서버에서 실행될 때, 공격자는 암호화할 경로를 지정하고 사일런트 모드(silent mode)를 활성화할 수 있다고 밝혔습니다.
Usage example: elf.exe --path /vmfs/ --threads 5
without --path encrypts current dir
--silent (-s) use for not stoping VMs mode
!!!BY DEFAULT THIS SOFTWARE USES 50 THREADS!!!
ESXi 서버에서 실행될 경우, 이는 실행 중인 모든 ESXi 가상 머신을 나열하고 종료하기 위해 esxcli 커맨드라인 툴을 실행합니다.
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id=" $1)}'
이 명령은 Sodinokibi 랜섬웨어가 파일을 암호화할 수 있도록 /vmfs/ 폴더에 저장된 가상 머신 디스크(VMDK) 파일을 닫는데 사용됩니다.
가상 머신이 파일을 암호화하기 전 올바르게 닫히지 않았을 경우, 데이터 손상이 발생할 수 있는 것으로 나타났습니다.
Sodinokibi은 이러한 방식으로 가상 머신을 공격함으로써 단일 명령으로 한 번에 많은 서버를 암호화할 수 있습니다.
또한 Wosar는 Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, Hellokitty와 같은 다른 랜섬웨어 작업 또한 ESXi 가상 머신을 노리는 리눅스 암호화 툴을 생성했다고 밝혔습니다.
“많은 랜섬웨어 그룹이 Linux를 기반으로 하는 버전을 구현한 이유는 ESXi를 노리기 위한 것으로 보입니다.”
현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Ransom.Linux.Gen'으로 탐지 중입니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| Lorenz 랜섬웨어용 무료 복호화툴 개발돼 (0) | 2021.06.30 |
|---|---|
| Windows Print Spooler 원격코드실행 취약점(CVE-2021-1675) 주의! (0) | 2021.06.30 |
| Purple Fox, 웜처럼 확산되며 SQL 서버 공격해 (0) | 2021.06.29 |
| 마이크로소프트, 악성 Netfilter 루트킷 드라이버에 서명해 (0) | 2021.06.29 |
| Babuk Locker 랜섬웨어용 빌더, 온라인에 유출돼 (0) | 2021.06.29 |
댓글 영역