ESXiArgs 랜섬웨어 감염 서버 3,700개 이상 발견

ESXiArgs 랜섬웨어는 Vmware ESXi 서버에서 사용되는 OpenSLP 서비스의 힙 오버플로(Heap Overflow) 취약점을 활용한 신종 랜섬웨어다. CVE-2021-21974 로도 불리는 이 취약점은 RCE(Remote code execution, 원격 코드 실행) 공격이 가능하여 많은 위협 행위자들이 악용했으며, 취약점이 발견된 지는 2년이 지났다. 지난 2023년 2월 3일 처음 ESXiArgs 랜섬웨어 피해가 보고되어, 최근까지 공격이 이어지고 있다.

ESXi OpenSLP란?

SLP는 Service Location Protocol의 약자로, 네트워크 내에서 사용 가능한 서비스를 식별하고 배치할 수 있도록 하는 서비스 검색 프로토콜이다. VMware ESXi를 설치할 때에 SLP를 사용하여 TCP/427 및 UDP/427 포트를 수신 대기하도록 한다. SLP 서비스는 인증 없이 접속 가능하며, 루트 권한으로 실행되기 때문에 ESXi SLP 서비스가 취약할 경우 사전 인증 원격 코드(pre-authentication remote code)가 루트로 실행될 수 있다.

취약한 SLP가 다시 악용되기 시작하면서 VMware ESXi에서는 SLP를 사용하지 않도록 제거하거나, 취약점 대상이 아닌 버전으로 패치하기를 권고하고 있다.

현재 OpenSLP 취약점 대상이 되는 ESXi 버전은 다음과 같다.

CVE-2021-21974가 영향을 미치는 ESXi 버전

• ESXi versions 7.x prior to ESXi70U1c-17325551
• ESXi versions 6.7.x prior to ESXi670-202102401-SG
• ESXi versions 6.5.x prior to ESXi650-202102101-SG

VMware ESXi 서버 탐색하기

Criminal IP Asset Search로 인터넷에 노출되어있는 전세계 VMware ESXi 서버 정보를 얻을 수 있다. 하지만 이번 ESXiArgs 랜섬웨어 공격과 무관한 ESXi 버전 5.1 및 v5.5 의 정보도 함께 검색된다.

Search Query: “ID_EESX_Welcome” 

• https://www.criminalip.io/ko/asset/search?query=%22ID_EESX_Welcome%22

ESXiArgs 랜섬웨어에 감염된 전세계 ESXi 서버 현황

이 새로운 ESXiArgs 랜섬웨어 공격은 감염 시 특정 파일의 확장자가 “.args” 로 변경되어, 감염 여부를 쉽게 확인할 수 있다. 감염된 서버는 확장자가 .vmxf, .vmx, .vmdk, .vmsd 및 .nvram인 파일이 모두 암호화되고, 메타 데이터가 있는 각 암호화된 문서에 .args 파일이 생성된다.

이를 활용해 랜섬웨어에 감염된 ESXi 서버의 개수를 확인할 수 있다. ESXiArgs 랜섬웨어에 감염된 호스트를 찾기 위한 키워드는 아래와 같다.

Search Query: title:”How to Restore Your Files”

• https://www.criminalip.io/ko/asset/search?query=title:%22How%20to%20Restore%20Your%20Files%22

ESXiArgs 랜섬웨어 감염 서버는 글을 작성하는 시점에 총 3,759 개가 발견되었다.

신종 랜섬웨어 공격의 특징은 공격 행위가 일정하게 발생하지 않고, 갑자기 증가하거나 멈추는 패턴이라는 점이다. 각종 사이버 보안 미디어에 보고되고 있는 감염 수는 지난 2월 6일 약 1,000개 감염으로 보고된 이후 2월 14일 약 1,900개 감염으로 보고되었다. 글을 작성하는 현재는 다시금 ESXi 랜섬웨어 공격이 잠잠한 상태인데, 그럼에도 불구하고 Criminal IP로 탐지된 감염 호스트는 3,759개로, 각종 미디어에 보고된 감염 수 보다 훨씬 많은 서버가 발견되었다.

검색에 사용된 키워드인 “How to Restore Your Flie”은 해커가 랜섬웨어에 감염된 피해자에게 남기는 랜섬노트의 Title이다. 감염된 서버의 랜섬노트를 확인해보면 3일 이내에 돈을 보내야 하며, 파일의 암호를 해독하려고 하지 말라는 경고 문구가 적혀있다.

이 랜섬노트의 바이너리 분석 결과를 VirusTotlal로 확인한 결과는 아래와 같다. 

• https://www.virustotal.com/gui/file/11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66/relations

랜섬웨어에 감염된 ESXi 서버 국가 통계

Criminal IP로 검색한 랜섬웨어 감염 ESXi 호스트 결과에 국가 필터를 추가하면 국가 단위로 검색 결과를 좁힐 수도 있다. 한국 내 감염된 호스트는 아래와 같으며, 현재도 감염 호스트가 계속 증가하는 추세이다.

Search Query: Title:”How to Restore Your Files” country: KR

• https://www.criminalip.io/ko/asset/search?query=Title%3A%22How+to+Restore+Your+Files%22+country%3A+KR

또한, Element Analysis 검색으로 ESXi 랜섬웨어 감염 서버 국가 통계 역시 확인할 수 있다. 

현재 해당 랜섬웨어에 감염된 서버는 총 70개 국가에서 발견되었다. 가장 많은 피해를 입은 국가는 프랑스로, 총 1,300개 서버가 감염된 것으로 확인된다. 

• https://www.criminalip.io/ko/intelligence/element-analysis/search?query=Title%3A%22How+to+Restore+Your+Files%22

랜섬웨어 암호화 해독 방법 및 보안 패치 권고사항

미국 CISA(Cybersecurity and Infrastructure Security Agency)에서 ESXiArgs 랜섬웨어에 감염된 서버를 복구하는 방법을 공개하였으며, 아래와 같은 보안 권고 사항을 발표했다.

• 최신 버전의 VMware ESXi 소프트웨어로 서버 업데이트
• SLP(Service Location Protocol) 서비스를 비활성화하여 ESXi 하이퍼바이저 강화
• ESXi 하이퍼바이저가 공용 인터넷에 노출되지 않도록 점검

또한, 공격자가 남긴 랜섬노트의 협박에 응하여 몸값을 지불하는 것 또한 권장하지 않는다고 한다. 몸값을 지불함으로써 공격의 수익이 발생한다면 또 다른 공격자가 랜섬웨어 배포에 가담할 수도 있기 때문이다.

관련하여 LockBit 3.0 랜섬웨어 공격자가 다크웹 사이트를 활용하는 방법에 대한 글을 참고해도 좋다.

---

출처

• Criminal IP (https://www.criminalip.io/ko)
• CISA (https://www.cisa.gov/uscert/ncas/alerts/aa23-039a)
• Cyble (https://blog.cyble.com/2023/02/06/massive-ransomware-attack-targets-vmware-esxi-servers/)

관련 글 : 

LockBit 3.0 랜섬웨어 : 다크웹 사이트 크롬으로 접속하게 해주는 친절한 해커