Abyss Locker 랜섬웨어, VMware ESXi 서버를 대상으로 하는 Linux 암호화 프로그램

최근에 Abyss Locker 랜섬웨어 작전이 등장하여, 기업들이 리소스 관리, 성능, 재해 복구를 위해 많이 사용하는 VMware의 ESXi 가상 머신 플랫폼을 대상으로 하는 큰 위협으로 떠오르고 있습니다. 가상 서버를 대상으로 하는 랜섬웨어 그룹들은 VMware ESXi의 인기에 기반하여 Linux 암호화 프로그램을 점점 더 개발하고 있습니다.

 

 

Abyss Locker 작전:

Abyss Locker는 상대적으로 새로운 랜섬웨어 작전으로, 2023년 3월부터 여러 기업을 대상으로 복잡한 공격을 하고 있습니다. 다른 랜섬웨어 그룹들과 마찬가지로, Abyss Locker의 위협 요소들은 기업 네트워크에 침투하고 이중 채용을 위해 가치 있는 데이터를 빼내며, 네트워크 내의 장치들을 암호화합니다.

데이터 유출과 협박:

희생자들에 대한 추가 압력을 가하기 위해, 랜섬웨어 운영자들은 이중 채용 전술을 사용하며, 만일 랜섬금을 지불하지 않으면 유출된 데이터를 위협적으로 공개할 것입니다. 이들은 'Abyss-data'라는 Tor 데이터 유출 사이트를 설립했으며, 현재 14명의 희생자들을 나열하고 있습니다. 유출된 데이터 양은 35GB부터 놀라운 700GB까지로, 랜섬웨어 운영자들에게 상당한 협상력을 제공합니다.

VMware ESXi 서버를 대상으로 하는 공격:

 

 

최근 MalwareHunterTeam의 보안 연구원들은 Abyss Locker가 VMware ESXi 서버를 특정 대상으로 하는 Linux ELF 암호화 프로그램을 발견했습니다. 이 암호화 프로그램은 'esxcli' 명령어 기반의 VMware ESXi 관리 도구를 활용하여 사용 가능한 가상 머신을 리스트업하고, 그 후에 강제로 종료시킵니다. 이렇게 함으로써 연관된 가상 디스크, 스냅샷, 메타데이터를 올바르게 암호화합니다.

암호화와 명령서:

가상 머신이 종료된 후, 랜섬웨어는 .vmdk(가상 디스크), .vmsd(메타데이터), .vmsn(스냅샷)과 같은 특정 확장자를 가진 모든 파일들을 암호화합니다. 더불어 장치의 모든 다른 파일들도 암호화되며, 파일 이름에 .crypt 확장자를 붙입니다. 각 암호화된 파일은 .README_TO_RESTORE 확장자를 가진 랜섬 노트와 함께 제공되며, 이 노트에는 파일에 일어난 일에 대한 정보와 랜섬웨어 운영자들과의 협상을 위한 고유한 링크가 포함되어 있습니다.

Hello Kitty 랜섬웨어와의 유사점:

랜섬웨어 전문가 Michael Gillespie는 Abyss Locker Linux 암호화 프로그램이 Hello Kitty 랜섬웨어를 기반으로 하고 있는 것으로 보고 있으며, 암호화에 ChaCha를 사용하고 있습니다. 하지만 이것이 HelloKitty 작전의 새로운 이름인지, 아니면 다른 랜섬웨어 그룹들이 암호화 프로그램의 소스 코드에 접근한 것인지에 대해서는 아직 확실하지 않습니다. 이는 이전에 Vice Society와 같은 사례에서 볼 수 있었습니다.

 

 

결론:

Linux 암호화 프로그램을 활용한 VMware ESXi 서버 대상 랜섬웨어 작전의 증가는 기업들이 가상 머신을 활용하는 운영에 상당한 위협을 제공합니다. 기업들은 주기적인 백업, 네트워크 모니터링, 직원 교육 등 견고한 사이버 보안 조치들을 우선적으로 고려하여 이러한 공격에 대비해야 합니다. 보안 연구원들과 전문가들 간의 협력은 새로운 랜섬웨어 위협을 식별하고 이해하는 데 있어서 기업들과 데이터의 보호를 위해 중요한 역할을 수행합니다.