상세 컨텐츠

본문 제목

HelloKitty 랜섬웨어, VMware ESXi 서버 노려

국내외 보안동향

by 알약4 2021. 7. 16. 14:00

본문

 

 

HelloKitty ransomware now targets VMware ESXi servers

 

HelloKitty 랜섬웨어의 리눅스 변종이 VMware ESXi 시스템을 노린 공격에 사용된 것으로 나타났습니다.

 

이 랜섬웨어 그룹은 가상화 플랫폼을 주로 사용하는 기업을 타깃으로 운영을 확대하는 것을 목표로 합니다. VMware ESXi 시스템을 노리는 공격자는 피해자에게 상당한 영향을 미치며, 가능한 많은 가상 머신을 암호화하는 것이 가능합니다.

 

MalwareHunterTeam의 연구원들은 VMware ESXi 서버를 공격하고, 해당 위치에 호스팅되는 가상 머신을 암호화하도록 설계된 HelloKitty 랜섬웨어의 ELF64 버전 다수를 발견했습니다.

 

 

<이미지 출처 : https://twitter.com/malwrhunterteam/status/1415403132230803460>

 

 

이 소식을 전한 Bleeping Computer는 새로운 변종 샘플을 분석한 결과, 해당 악성코드가 파일을 암호화하기 전 잠기는 것을 방지하기 위해 타깃 서버에서 실행되는 가상 머신을 중단시킨다고 밝혔습니다.

 

“디버그 메시지에서 서버에서 실행되는 가상 머신의 목록을 받아오고 이를 중단시키기 위해 ESXi의 ‘esxcli’ 커맨드라인 관리 툴을 사용하는 것을 발견했습니다.”

 

가상 머신이 종료되면, 랜섬웨어는 .vmdk(가상 하드 디스크), .vmsd(메타데이터 및 스냅샷 정보) .vmsn(VM의 활성 상태) 파일을 암호화합니다.

 

HelloKitty 랜섬웨어는 ESXi 서버를 노리는 유일한 랜섬웨어는 아닙니다. Babuk, RansomExx, Mespinoza, DarkSide 랜섬웨어 또한 이 기능을 구현했습니다.

 

지난 6, MalwareHunterTeam의 연구원들은 ESXi 플랫폼을 노리는 리눅스 버전의 Sodinokibi 랜섬웨어 또한 발견했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/120158/cyber-crime/hellokitty-ransomware-linux-variant.html

https://www.bleepingcomputer.com/news/security/linux-version-of-hellokitty-ransomware-targets-vmware-esxi-servers/

관련글 더보기

댓글 영역