Linux version of BlackMatter ransomware targets VMware ESXi servers
BlackMatter 랜섬웨어 공격 그룹이 VMware의 ESXi 가상 머신 플랫폼을 노리는 리눅스용 암호화 툴을 개발하기 위한 대열에 들어선 것으로 나타났습니다.
기업은 더 나은 리소스 관리 및 재해 복구를 위해 서버용 가상 머신을 점점 더 많이 사용하고 있습니다.
이 중 VMware ESXi가 가장 인기 있는 가상 머신 플랫폼이기 때문에, 기업을 노리는 거의 모든 랜섬웨어들이 가상 머신을 노리는 암호화 툴을 개발하기 시작했습니다.
VMware ESXi를 노리는 BlackMatter
8월 4일, 보안 연구원인 MalwareHunterTeam이 BlackMatter 랜섬웨어 그룹의 리눅스 ELF64 암호화 툴을 발견했습니다. 기능을 살펴본 결과 이는 VMware ESXi 서버를 노리도록 설계되었습니다.
BlackMatter는 지난 달 활동을 시작한 비교적 새로운 랜섬웨어로 DarkSide가 리브랜딩한 것으로 추측됩니다. 샘플 분석 결과, 해당 랜섬웨어가 사용하는 암호화 루틴이 DarkSide에서 사용하는 것과 동일한 것으로 확인되었습니다.
DarkSide는 Colonial Pipeline을 공격 및 폐쇄시킨 후 국제 집행 기관과 미국 정부의 총체적인 압력을 받은 후 활동을 중단했습니다.
Bleeping Computer와 공유된 BlackMatter의 리눅스 암호화 툴 샘플을 확인 결과, VMWare ESXi 서버만을 노리도록 설계되었음을 확인했습니다.
Advanced Intel의 Vitali Kremez는 샘플을 리버스 엔지니어링한 결과, 공격자가 VMware ESXi 서버에서 다양한 작업을 수행하는 데 사용되는 'esxi_utils' 라이브러리를 생성했다고 설명했습니다.
/sbin/esxcli
bool app::esxi_utils::get_domain_name(std::vector >&)
bool app::esxi_utils::get_running_vms(std::vector >&)
bool app::esxi_utils::get_process_list(std::vector >&)
bool app::esxi_utils::get_os_version(std::vector >&)
bool app::esxi_utils::get_storage_list(std::vector >&)
std::string app::esxi_utils::get_machine_uuid()
bool app::esxi_utils::stop_firewall()
bool app::esxi_utils::stop_vm(const string&)
Kremez는 각 기능이 esxcli 커맨드라인 관리 도구를 사용해 VM 나열, 방화벽 중지, VM 중지와 같은 다른 명령을 실행할 것이라고 말했습니다.
예를 들어, stop_firewall() 함수는 아래 명령을 실행합니다.
esxcli network firewall set --enabled false
stop_vm()은 아래 esxcli 명령을 실행합니다.
esxcli vm process kill --type=force --world-id [ID]
ESXi 서버를 노리는 모든 랜섬웨어는 드라이브를 암호화하기 전 가상 머신을 먼저 종료하려고 시도합니다. 이는 데이터가 암호화되는 동안 데이터 손상을 방지하기 위함입니다.
모든 VM이 종료된 후에는 랜섬웨어에 포함된 구성을 기반으로 특정 파일 확장자와 일치하는 파일을 암호화합니다.
ESXi 서버를 노리는 것은 랜섬웨어 공격에 매우 효율적입니다. 공격자가 단일 명령으로 여러 서버를 한 번에 암호화할 수 있기 때문입니다.
더 많은 기업이 서버용으로 이러한 유형의 플랫폼으로 변경함에 따라, 랜섬웨어 개발자는 ESXi를 대상으로 하는 전용 리눅스 암호화 툴을 계속해서 개발할 것입니다.
현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Linux.Gen’으로 탐지 중입니다.
출처:
Arcadyan 펌웨어에 존재하는 경로 조작 취약점(CVE-2021-20090) 주의! (0) | 2021.08.09 |
---|---|
CVE-2021-20090 취약점을 악용하는 활발한 공격, 전 세계 IoT 기기 수백만 대 노려 (0) | 2021.08.09 |
PrintNightmare 제로데이 취약점 관련 무료 비공식 패치 공개 (0) | 2021.08.06 |
패치되지 않은 취약점으로 Mitsubishi Safety PLC 원격 공격에 노출돼 (0) | 2021.08.06 |
국가 수준의 스파잉을 허용하는 새로운 DNS 취약점 발견 (0) | 2021.08.06 |
댓글 영역