Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향ESXi 가상 머신을 타겟으로 한 REvil의 Linux 기반 암호화도구
작성일 2021-06-29 조회 946

REvil ransomware

 

 

REvil 랜섬웨어에서 Vmware ESXi 가상 머신을 대상으로 하고 암호화하는 Linux 암호화 도구를 사용하고 있다.

 

기업은 백업, 장치관리, 리소스 효율적 사용을 위해 가상 머신으로 옮겨가고 있다. 따라서 랜섬웨어 집단도 VM에서 사용하는 스토리지를 대량 암호화하는 그들만의 도구를 만들고 있다.

 

5월에 Advanced Intel의 Yelisey Boguslavskiy는 REvil에 관한 포럼 게시물을 공유했다. 이 게시물을 보면 NAS 장비에서 동작할 수있는 REvil 암호화 도구의 Linux 버전을 릴리즈했음을 알 수 있다.

 

 

 

[ 그림1. Yelisey Boguslavskiy의 REvil 관련 트윗 내용 ]

 

 

 

또한, 오늘 보안 연구원 MalwareHunterTeam은 ESXi 서버를 타겟으로 하는 REvil 랜섬웨어(aka Sodinokibi)의 리눅스 버전을 찾았다.

 

새로운 REvil Linux 변종을 분석한 Advanced Intel의 Vitali Kremez는 BleepingComputer에 REvil Linux 변종은 ELF64 실행파일이고 일반적인 Windows 실행파일에서 사용되는 같은 설정 옵션을 포함한다고 말했다.

 

Kremez는 REvil이 릴리즈된 이후 Linux 변종이 공개적으로 알려진 것이 처음이라고 말했다. 서버에서 실행될 때, 위협행위자는 암호화할 경로를 지정할 수 있고 slient mode를 활성화할 수 있다.

 

ESXi 서버에서 실행될 때, REvil 랜섬웨어는 esxcli 커맨드 라인 도구를 실행하여 실행 중인 ESXi 가상 머신 목록을 가져오고 그들을 종료한다.

 

Emsisoft CTO인 Fabian Wosar는 BleepingComputer에 다른 랜섬웨어도 ESXi 가상 머신을 타겟으로 한 Linux 암호화도구를 제작하고  있다고 말했다. Wosar는 "대부분 랜섬웨어 그룹이 그들의 Linux 버전을 구현하는 이유는 특히 ESXi를 대상으로 하기 위해서이다." 라고 말했다.

 

REvil Linux 암호화도구와 관련된 파일 해시는 보안 연구원 Jaime Blasco에 의해 수집되었고, Alienvault의 Open Threat Exchange에 공유되었다.

 

 

 

 

 

출처

https://www.bleepingcomputer.com/news/security/revil-ransomwares-new-linux-encryptor-targets-esxi-virtual-machines/

첨부파일 첨부파일이 없습니다.
태그 REvil  Vmware ESXi