사이버 보안 연구원들이 타겟 컴퍼니(TargetCompany) 랜섬웨어의 새로운 리눅스 변종을 발견했다. 이 변종은 맞춤형 셸 스크립트를 사용하여 페이로드를 전달하고 실행함으로써 VMware ESXi 환경을 겨냥하고 있다. 이번 발견은 랜섬웨어의 고급 기능과 접근 방식 때문에 사이버 보안 전문가들은 각별한 주의를 당부하고 있다.
타겟 컴퍼니 랜섬웨어 작전은 2021년 6월에 처음 등장했으며, 주로 MySQL, Oracle, SQL Server 시스템에 대한 데이터베이스 공격에 집중했다. 이 랜섬웨어는 주로 대만, 한국, 태국, 인도의 조직에 영향을 미쳤다.
어베스트가 2022년 2월에 변종을 대상으로 한 무료 복호화 도구를 발표하는 등 대응에 나섰지만 랜섬웨어 조직은 빠르게 재정비하였다. 2022년 9월에는 취약한 마이크로소프트 SQL 서버를 공격하고 텔레그램을 통해 데이터 유출 위협을 한 바있다.
사이버 보안 회사 트렌드마이크로(TrendMicro)의 최근 보고서에 따르면, 이 새로운 리눅스 변종은 랜섬웨어의 전통적인 윈도우 타겟에서 VMware ESXi 머신으로 전략적 전환했다고 밝혔다. 랜섬웨어는 악의적인 루틴을 계속하기 전에 관리 권한이 있는지 확인한다. 공격자는 맞춤형 셸 스크립트를 사용하여 랜섬웨어 페이로드를 다운로드하고 실행하며, 데이터 유출을 위해 두 개의 별도 서버로 데이터를 전송하여 기술적 문제 발생시에 대비한다.
랜섬웨어가 타겟 시스템에 도달하면, 'uname' 명령어를 실행하여 'vmkernel'을 확인함으로써 VMware ESXi 환경에서 실행 중인지 확인한다. 이후, "TargetInfo.txt" 파일을 생성하여 피해자의 호스트명, IP 주소, 운영 체제 세부 정보, 로그인한 사용자 및 권한, 고유 식별자, 암호화된 파일 및 디렉터리 정보를 포함하여 C2 서버로 전송한다.
랜섬웨어는 vmdk, vmem, vswp, vmx, vmsn, nvram 등 VMware 관련 확장자를 가진 파일을 암호화하고, 암호화된 파일에는 ".locked" 확장자가 추가된다. "HOW TO DECRYPT.txt"라는 이름의 랜섬 노트를 떨어뜨려, 피해자에게 랜섬을 지불하고 복호화 키를 얻는 방법을 안내한다. 공격 후, 'rm -f x' 명령어를 사용하여 페이로드를 삭제함으로써 사건 후 조사에서 추적할 수 있는 흔적을 제거한다.
트렌드마이크로 분석가들은 이번 공격을 "뱀파이어(vampire)"라는 이름의 공격자로 특정했으며, 이는 이전 달 세코이아(Sekoia) 보고서에 언급된 위협 행위자와 동일인일 가능성이 있다. 페이로드 전달 및 피해자 정보 수락에 사용된 IP 주소는 중국의 ISP 제공자로 추적되었지만, 이는 공격자의 정확한 출처를 결론짓기에 충분하지 않다.
트렌드 마이크로는 이 새로운 변종의 위협에 대응하기 위해 다음과 같은 권장 사항을 제시했다:
-다중 인증(MFA) 활성화: MFA를 구현하면 추가적인 보안 계층이 추가되어 공격자가 무단 접근하기 어렵게 만든다.
-정기적인 백업: 정기적인 백업을 통해 랜섬웨어 공격의 영향을 줄일 수 있으며, 랜섬을 지불하지 않고도 데이터를 복구할 수 있다.
-시스템 업데이트: 시스템 및 소프트웨어를 최신 패치로 업데이트하면 랜섬웨어가 악용하는 알려진 취약점을 방지할 수 있다.
