리눅스와 VMware ESXi용으로 개발된 첫번째 LockBit 랜섬웨어 발견

Experts analyze first LockBit ransomware for Linux and VMware ESXi

 

LockBit 랜섬웨어가 새 버전에 Linux 시스템에 대한 지원을 추가했습니다. 해당 버전은 VMware ESXi 가상 머신을 노렸습니다.

 

이러한 움직임은 가상화 환경으로 마이그레이션하는 모든 조직을 포함하여 잠재적 타깃을 확대하는 것이 목표인 것으로 보입니다.

 

LockBit은 2021년 10월부터 VMware ESXi 가상 머신을 노리는 새로운 Linux 버전을 광고하고 있었습니다. Trend Micro는 이들이 지난 10월부터 언더그라운드 포럼인 "RAMP"에서 리눅스 버전인 LockBit Linux-ESXi Locker 버전 1.0을 발표하여 광고하고 있었다고 밝혔습니다.

 

Trend Micro는 데이터 암호화에 AES(Advanced Encryption Standard)와 ECC(Elliptic-Curve cryptography) 알고리즘 조합을 사용하는 Lockbit Linux-ESXi Locker 버전 1.0을 분석했습니다.

 

아래는 연구원이 분석한 버전에서 지원하는 인수 목록입니다.

 

 

<이미지 출처 : https://www.trendmicro.com/en_us/research/22/a/analysis-and-Impact-of-lockbit-ransomwares-first-linux-and-vmware-esxi-variant.html>

 

 

해당 버전은 감염된 시스템에서 아래 정보를 수집 가능합니다.

 

- 프로세서 정보

- 시스템의 볼륨

- 건너뛸 가상 머신(VM)

- 총 파일

- 총 VM

- 암호화된 파일

- 암호화된 VM

- 암호화된 파일의 총 크기

- 암호화에 소요된 시간

 

아래는 Trend Micro에서 분석한 LockBit의 암호화기가 지원하는 명령 목록입니다. 이 명령을 사용할 경우 타깃 시스템에 등록된 가상 머신의 유형을 확인하고 전원을 꺼 리소스를 잠금 해제하고 암호화할 수 있습니다.

 

명령	설명
VM-SUPPORT –LISTVMS	등록 및 실행 중인 모든 VM 목록 가져오기
ESXCLI VM PROCESS LIST	실행 중인 VM 목록 가져오기
ESXCLI VM PROCESS KILL –TYPE   FORCE –WORLD-ID	목록에서 VM 전원 끄기
ESXCLI STORAGE FILESYSTEM LIST	데이터 저장 상태 확인
/SBIN/VMDUMPER %D SUSPEND_V	VM 중단
VIM-CMD HOSTSVC/ENABLE_SSH	SSH 활성화
VIM-CMD HOSTSVC/AUTOSTARTMANAGER/ENABLE_AUTOSTART FALSE	자동 시작 비활성화
VIM-CMD HOSTSVC/HOSTSUMMARY GREP CPUMODEL	ESXi CPU 모델 확인

 

Lockbit은 Linux 암호화기에 대한 지원을 추가한 시간 가장 최근 랜섬웨어입니다.

 

과거에 이미 Linux 암호화를 지원하기 시작한 다른 랜섬웨어 작업은 HelloKitty, BlackMatter, REvil, AvosLocker, Hive 입니다.

 

"이 변종을 통해 최신 랜섬웨어 그룹이 ESXi 서버와 같은 Linux 호스트를 암호화하려는 노력을 어떻게 실현했는지 확인할 수 있습니다. ESXi 서버는 일반적으로 조직에 중요한 데이터나 서비스를 보관하는 VM 다수를 호스팅합니다. 따라서 랜섬웨어를 통해 ESXi 서버를 성공적으로 암호화할 경우 타깃 기업에 큰 영향을 미칠 수 있습니다. 이러한 트렌드는 REvil 및 DarkSide와 같은 랜섬웨어에서 주도했습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/127248/cyber-crime/lockbit-ransomware-linux-vmware-esxi.html

https://www.trendmicro.com/en_us/research/22/a/analysis-and-Impact-of-lockbit-ransomwares-first-linux-and-vmware-esxi-variant.html (IOC)