랜섬웨어는 계속해서 크게 확산되고 있으며, 최근 보고서에서 새로운 변종이 공개되었다.. 위협 행위자들이 아틀라시안(Atlassian) 서버의 심각한 취약점을 악용하여 악명 높은 Cerber 랜섬웨어의 리눅스 변종을 유포하여 패치가 적용되지 않은 전 세계 시스템에 큰 혼란을 일으키고 있어 각별한 주의가 요구된다.

이  취약점은 CVE-2023-22518로, Atlassian Confluence Data Center 및 Server의 핵심을 공격한다. 9.1 CVSS 점수를 받은 이 랜섬웨어는 공격자가 인증 없이 관리자 계정을 생성하여 컨플루언스를 재설정할 수 있는 열린 문을 제공한다. 이 새로운 액세스 권한으로 무장한 위협 행위자는 제어권을 장악하여 기밀성, 무결성 및 가용성을 손상시킨다.

금전적 동기를 가진 사이버 범죄 그룹은 이 기회를 포착하여 새로 생성된 관리자 계정을 활용하여 이플루언스 웹 셸 플러그인을 설치하고있다. 이 교활한 플러그인은 호스트에서 임의의 명령을 실행하는 통로가 되어 Cerber가 침입할 수 있는 길을 열어준다.

이 웹 셸을 사용하여 기본 Cerber 페이로드를 다운로드하고 실행한다. '컨플루언스' 사용자 권한의 범위 내에서 작동하는 Cerber는 데이터를 암호화하여 .L0CK3D 확장자를 추가하지만 이 사용자가 소유한 파일에 국한된다.

하지만 음모는 더 복잡해진 2023년 11월에 발표된 라피드7의 경고는 사이버 보안 업계에 큰 반향을 불러일으키며 Cerber의 배포를 위한 CVE-2023-22518의 악용을 집중 조명했습니다. C++로 작성된 Cerber의 기본 페이로드는 로더 역할을 하며 명령 및 제어(C2) 서버에서 추가 C++ 기반 멀웨어를 가져온다. 실행 후 페이로드가 호스트에서 자체 삭제되기 때문에 악의적인 흔적을 더욱 감출 수 있다.

CVE-2023-22518의 강력한 기능으로 무장한 Cerber의 출현은 랜섬웨어의 진화하는 환경을 잘 보여준다. Windows 및 VMware ESXi 서버를 표적으로 삼는 Evil Ant, HelloFire, Muliaka와 같은 새로운 패밀리가 등장하면서 전장이 확장되고 있다. 하지만 위협 공격자들은 유출된 락빗 랜섬웨어 소스 코드를 활용하여 람다, 모르도르, 즈굿과 같은 맞춤형 변종을 생성하는 등 랜섬웨어의 범위는 더 넓어지고 있다.

공격자들이 강화된 맞춤형 랜섬웨어를 간단하게 제작하고 있다. 카스퍼스키의 분석에 따르면 맞춤형 락빗 변종이 네트워크 전체에 퍼지면서 파괴적인 피해를 남기고 있다고 경고했다.