이탈리아, 프랑스 등 유럽과 북미 지역에서 수천대의 VM웨어 서버를 노리는 ‘ESXI 랜섬웨어’가 탐지됐다.
보안 전문가들에 따르면, ESXI 랜섬웨어는 VM웨어가 개발한 ESXI의 취약점을 공격한다. ESXI는 가상 컴퓨터를 배치하고 서비스를 제공할 목적으로 VM웨어가 개발한 엔터프라이즈 계열의 하이퍼바이저이다.
프랑스의 사이버 보안국은 2월 3일 이번 공격에 대한 경보를 내고 취약점을 패치해야 한다고 경고했다. 또한 이탈리아와 싱가포르의 사이버 보안국도 시스템 보호를 위해 조치가 필요하다고 발표했다.
프랑스 클라우드 기업 OVHcloud는 “이번 공격은 네바다 랜섬웨어와 연관이 있다. 현재 조사가 진행 중이며 공격은 주로 OpenSLP 포트를 통해 7.0 U3i 이전 버전의 ESXI 서버를 대상으로 한다”라고 설명했다.
보안 기업 리시큐리티는 “네바다 랜섬웨어는 다수의 다른 랜섬웨어를 함께 운영하고 있다. 공격의 일부 사례에서 랜섬웨어는 손상된 ESXI 서버에서 다양한 확장자를 가진 파일을 암호화한 후 암호화된 각 문서에 대해 .args 파일을 생성한다. 이것이 연구원들이 이를 ESXiArgs 랜섬웨어라고 부르는 이유다”라고 말했다.
이번 취약점은 2021년 2월에 패치된 CVE-2021-21974로 추정되며, 서비스 위치 프로토콜에 영향을 미쳐 공격자가 원격으로 임의 코드를 입력할 수 있게 만든다.
한편, VM웨어는 이번 공격을 심각한 취약점으로 지정한 후 해결 방안을 찾고 있는 상황이다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
