새로운 로얄 트로이 변종 발견, VMware ESXi 가상 머신을 타겟으로 함

Equinix Threat Analysis Centre (ETAC)의 보안 연구원 Will Thomas는 명령줄을 사용하여 수행되는 로얄 트로이의 새로운 변종을 발견했습니다.

따라서 로얄 트로이는 VMware ESXi 가상 시스템을 특히 타겟으로 하여 Linux 장치 암호화를 지원하는 최신 트로이로 자리 잡게 되었습니다.

AvosLocker, Hive, Black Basta 등 여러 그룹에 의해 유사한 랜섬웨어 암호기가 여러 차례 유포된 사건이 있었습니다.

또한, 여러 플래그를 지원하여 랜섬웨어 운영자에게 암호화 프로세스에 대한 일부 제어를 제공합니다. 다음은 해당 플래그입니다.

-stopvm > 모든 실행 중인 VM을 중지하여 암호화할 수 있습니다.
-vmony - 가상 머신만 암호화합니다.
-id: id는 32자여야 합니다.
-fork - 알 수 없음
-logs - 알 수 없음  

이제 랜섬웨어가 파일을 암호화하면 VM의 모든 암호화된 파일에 .royal_u 확장자를 추가합니다.

랜섬웨어 방지 메커니즘이 랜섬웨어를 탐지하는 데 문제가 있었지만 현재 Virus Total에서 63개의 악성 코드 스캐닝 엔진 중 23개를 탐지했습니다.

모르는 분들을 위해, 로얄 랜섬웨어는 이전에 컨티 랜섬웨어를 운영했던 여러 경험이 풍부한 위협 행위자들이 개인 소유하고 있습니다. 로얄 랜섬웨어는 2022년 1월에 처음 발견되었으며, 9월에는 로얄의 악의적인 활동이 증가했습니다.

처음에 위협 행위자들은 BlackCat과 같은 다른 작전의 암호화기를 사용하다가 Zoen과 같은 자신들의 것으로 변경하여 컨티 랜섬웨어에서 보낸 것과 같은 랜섬 노트를 보냈습니다.

읽기: 공격자들이 OneNote 첨부 파일을 악용하여 RAT 악성 코드를 퍼뜨림

9월에 위협 공격자들은 이 변종의 이름을 로얄로 변경하고, 동일한 이름의 랜섬 노트를 포함한 새로운 암호화기를 배포하기 시작했습니다.

그 후, 그룹은 목표의 기업 네트워크 시스템을 암호화한 후 랜섬을 요구합니다.

미국 보건복지부는 의료 및 공공 부문을 타겟으로 하는 로얄 랜섬웨어에 대해 경고했습니다.

이번이 위협 공격자들이 ESXI 가상 머신을 타겟으로 하는 것은 처음이 아닙니다. 기업들이 장치 관리와 더 효율적인 자원 처리를 개선하기 위해 VM을 사용하기 시작했기 때문입니다.

그들이 ESXi 호스트에 페이로드를 배포할 때, 위협 공격자들은 단일 명령을 사용하여 여러 서버를 암호화합니다. 여기서 주목할 점은 그룹이 ESXi를 타겟으로 하는 Linux 기반 랜섬웨어를 구현했다는 것입니다.

인터넷 전역의 많은 VMware ESXi 서버가 마지막 순간을 맞이했습니다. 이제 기술 지원만 받을 수 있으며 보안 업데이트만 받을 수 있어 랜섬 공격에 취약해집니다.

읽기: 넷플릭스의 비밀번호 공유에 대한 엄격한 조치: 기대할 사항