익스메트로 파워호스트가 새로 확인된 랜섬웨어 그룹인 SEXi의 사이버 공격에 피해를 입었다. 최근 발생한 이 공격은 이 회사의 VMware ESXi 서버와 백업을 표적으로 삼았으며, 이로 인해 서비스에 심각한 장애가 발생했다.
이번 랜섬웨어 사고는 고객용 가상 사설 서버(VPS)를 호스팅하는 데 사용되는 서버에 영향을 미쳐 웹사이트와 서비스에 액세스할 수 없게 만들었다.
서버와 백업에 저장된 테라바이트 규모의 데이터가 암호화되어 서비스를 복구하려고 노력하고 있다. 공격자는 피해기업 당 2비트코인, 약 1억 4천만 달러에 달하는 몸값을 요구하고 있다.
‘SEXi’로 알려진 이 랜섬웨어는 VMware ESXi 서버를 표적으로 삼는 것이 특징이다. 이 랜섬웨어는 '.SEXi'라는 고유한 파일 확장자를 사용하며 'SEXi.txt'라는 랜섬 메모를 남긴다. 아직 랜섬웨어 샘플이 확보되지는 않았지만 2023년 3월에 등장한 것으로 보고되고 있다.
특히, SEXi 랜섬 노트는 피해자에게 추가 커뮤니케이션을 위해 세션 메시징 앱을 다운로드하라고 지시하는데, 이는 익명의 커뮤니케이션 채널로 전환하게 된다. 모든 랜섬 노트가 동일한 연락처 주소를 공유하고 있다.
익스메트로 파워호스트는 웹사이트 콘텐츠가 남아있는 고객을 위해 대체 VPS 설정을 제공하는 등 피해 고객을 지원하기 위한 조치를 취하고 있다. 하지만 백업 파일까지 암호화되었기 때문에 서버 복원에 어려움을 겪고 있다.
VMware ESXi 서버 및 백업을 사용하는 국내 기업들도 주의해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★