윈도보다 안전한 거 아니었어?…리눅스 노리는 랜섬웨어 조직들

 최근 랜섬웨어 공격이 리눅스와 VM웨어 ESXi 하이퍼바이저 환경으로까지 확산되며 그 위협이 커지고 있다.


29일 이스트시큐리티는 자사의 알약 프로그램의 랜섬웨어 사전 차단 기능을 통해 3분기 동안 총 6만9582건에 달하는 랜섬웨어 공격을 방어했다고 밝혔다.

아울러 이를 바탕으로 정리한 3분기 랜섬웨어 동향을 발표하며 ESXi 하이퍼바이저와 리눅스 시스템을 겨냥한 공격 증가, 새로운 서비스형랜섬웨어(RaaS) 그룹의 활동 등 주요 변화를 꼽았다.
우선, ESXi가 랜섬웨어 공격자들의 주요 공격 대상으로 자리 매김했다. ESXi는 VM웨어의 하이퍼바이저다. 하이퍼바이저는 다양한 운영 체계를 하나의 컴퓨터에서 작동할 수 있게 하는 프로그램을 말한다. 따라서 ESXi 서버를 장악하면 해당 서버에서 동작 하는 다양한 가상 머신에 영향을 미칠 수 있다.

지난 6월 ESXi에서 인증 우회 취약점이 발견된 이후, 아키라(Akira) 및 블랙바스타(BlackBasta), 블랙바이트(Black Byte) 등 다수의 해킹 그룹이 공격에 해당 취약점을 적극적으로 악용했다. 최근 발견된 Play 랜섬웨어의 변종 역시 VM웨어 ESXi 환경을 대상으로 공격하도록 설계된 것으로 확인돼, VM웨어 ESXi를 타깃으로 하는 랜섬웨어의 공격은 지속되고 더욱 거세질 것으로 예상된다.



◆리눅스 겨냥한 랜섬웨어 확산…공격 전술도 변화

과거 윈도 환경에서 주로 발생했던 랜섬웨어 공격이 최근 리눅스 시스템으로 확대되고 있다.

대표적으로 말록스(Mallox) 랜섬웨어는 윈도 시스템만을 공격 대상으로 한 기존 형태와 다르게 리눅스 시스템도 공격할 수 있도록 업데이트됐다. 또 크립티나(Kryptina) 코드를 기반으로 하는 새로운 말록스 랜섬웨어 변종도 추가로 발견됐다. 이 새로운 변종 역시 리눅스 시스템에서의 공격을 위해 설계됐다.

랜섬웨어 공격의 전술도 진화하고 있다. 최근 등장한 킬린(Qilin) 랜섬웨어 변종은 크롬 브라우저에 저장된 계정 정보를 탈취한 후, 다단계 인증(MFA)이 설정되지 않은 VPN을 통해 네트워크 접근을 시도하는 방식으로 침입 경로를 다양화하고 있다.

◆신규 그룹 등장으로 팽창하는 RaaS… 예방 및 대응 체계 강화해야

새로운 RaaS 그룹들도 등장했다. RaaS는 돈만 내면 랜섬웨어를 제공하는 일종의 ‘판매하는 랜섬웨어’를 말한다.

시카다(Cicada)3301은 3분기에 새롭게 등장한 RaaS 그룹으로, 과거의 유명한 암호학 퍼즐의 이름을 차용했다. 러스트 컴퓨터 언어로 작성돼 주로 VM웨어 ESXi와 같은 가상화 환경을 공격 대상으로 삼고 있다.

엘도라도(Eldorado)는 올해 3월에 처음 등장한 RaaS로, 고 언어로 작성됐으며 주로 윈도와 ESXi 환경을 공격 타깃으로 삼는다. 엘도라도는 사용자에게 맞춤형 암호화 옵션을 제공하며, 피해자의 데이터를 암호화한 후 몸값을 요구하는 방식으로 운영된다. 이 랜섬웨어는 빠르게 성장하며 다양한 산업에서 피해를 입히고 있다.

이스트시큐리티 ESRC 관계자는 “랜섬웨어 공격자들이 피해를 극대화시키고자 ESXi와 같은 가상화 솔루션을 주요 공격 타깃으로 삼고 있다”면서 “보안 담당자들이 최신 보안 패치를 신속히 적용하고, 사용자 접근 권한을 철저히 관리하며, 정기적인 교육과 모니터링을 통해 사이버 공격에 대한 예방 및 대응 체계를 강화해야 한다”고 밝혔다.

문제가 될 시 삭제하겠습니다.
Powered by Blogger.