Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
가상화ㆍ컨테이너 / 보안

새로운 랜섬웨어 '치어스크립트' 등장 "ESXi 서버 공격해 이중 갈취"

John P. Mello Jr. | CSO 2022.05.27
보안 업체 트렌드 마이크로(Trend Micro) 연구팀이 새로운 리눅스 기반 랜섬웨어를 발견했다. ‘치어스크립트(Cheerscrypt)’라고 불리는 이 랜섬웨어는 VM웨어의 ESXi 서버 공격에 사용됐다. ESXi 서버는 같은 하드 드라이브 스토리지를 공유하는 여러 가상머신을 생성하고 실행하는 베어메탈 하이퍼바이저다. 치어스크립트는 록빗(LockBit), 하이브(Hive), 랜섬EXX(RansomEXX) 같은 다른 랜섬웨어 프로그램의 공격 방식을 답습해 ESXi에서 악의적인 페이로드로 한 번에 많은 컴퓨터를 감염시키는 효율적인 방법을 찾아냈다. 
 
ⓒ Getty Images Bank

보안 인식 교육 업체 노비4(KnowBe4)의 방어 에반젤리스트 로저 그림스에 따르면, 전 세계 대부분 기업이 VM웨어 가상머신을 사용해 운영하고 있다. 그림스는 “랜섬웨어 공격자가 작업하기 쉬운 환경이다. 하나의 서버(VM웨어 서버)만 암호화하면 여기에 포함된 모든 게스트 가상머신을 암호화할 수 있기 때문이다. 한 번의 공격 및 암호화 명령으로 수십에서 수백 대의 가상 실행 컴퓨터를 쉽게 암호화한다”라고 지적했다. 

그림스는 “가상머신 솔루션 업체 대부분은 일종의 VM 백업 제품으로 모든 게스트 서버를 백업한다. 따라서 하나의 백업 리포지토리를 찾아서 삭제하거나 손상시키면 호스팅된 모든 게스트 서버의 백업 이미지까지 한 번에 사라진다”라고 덧붙였다. 


치어스크립트 공격 집단, ‘이중 갈취’ 기법 사용

트렌드 마이크로 소속 연구원 아리안 델라 크루즈, 바이런 겔레라, 맥저스틴 드 구즈만, 워렌 스토가 블로그에 게재한 설명에 따르면, 치어스크립트 공격 집단은 암호화 경로를 지정하는 입력 매개변수를 획득한 후 모든 VM 관련 파일을 암호화할 수 있는지 테스트하기 위해 모든 VM 프로세스를 종료하는 명령을 실행한다. 

또한 연구팀은 치어스크립트 공격 집단이 표적에게 몸값을 얻어내기 위해 이중 갈취(double extortion) 기법을 사용하고 있다고 경고했다. 공격 집단이 몸값을 요구하는 메시지는 ‘보안 경보!!!(Security Alert!!!)’로 시작하며, “우리가 당신의 컴퓨터를 성공적으로 해킹해 모든 파일을 탈취하고 암호화했다. 파일을 복구하거나 유출을 피하고 싶다면 우리에게 연락하라”라는 내용의 협박이 이어진다. 

트렌드 마이크로 연구팀은 치어스크립트가 공개/비밀키 암호화 기법으로 표적 서버에서 파일을 섞는다. 랜섬웨어 실행 파일에는 공개키가 포함돼 있으며, 공격자는 공개키로 암호화된 파일 해독에 필요한 비밀키를 보유한다. 공격 집단은 소세마누크(SOSEMANUK) 스트림 암호로 파일을 암호화하고 ECDH(Elliptic-curve Diffie–Hellman)로 키를 생성한다. 


연구팀 “공격 확대할 것으로 예상”

연구팀은 ESXi가 엔터프라이즈 환경에서 서버를 가상화할 때 폭넓게 사용되므로 랜섬웨어 공격의 인기 표적이라고 설명했다. 즉, 랜섬웨어가 다른 기기로 매우 신속하게 퍼질 수 있다. 따라서 연구팀은 악의적인 행위자들이 최대한 많은 시스템 및 플랫폼을 감염시켜 더 많은 금전적 이득을 취하기 위해 랜섬웨어를 업그레이드할 것으로 예상했다. 

보안 인증 솔루션 업체 토큰(Token)의 CEO 존 건은 “점점 많은 기업이 생체 인식을 사용한 다중 인증을 도입해 보안을 강화하는 추세다. 이는 해커들이 주로 선택하는 취약점이었던 ‘정문’을 효과적으로 방어하는 방법이다. 그러나 다중 인증을 도입한다고 해서 위협 행위자가 공격을 멈추지는 않는다. 이들은 공격 방법을 치어스크립크와 같은 방식으로 변경할 것이다”라고 말했다.
editor@itworld.co.kr
 Tags 랜섬웨어 이중갈취 치어스크립트
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.