VMware ESXi 서버 대상 Linux기반 RANSOMWARE 이슈

 

Avoslocker를 통해 VMware ESXi 서버를 대상으로 공격하는 Linux 기반 랜섬웨어가 확인되었습니다.

 

Avoslocker는 랜섬웨어 공격을 위해 이미 만들어진 랜섬웨어를 계열사에 판매하는 RaaS(Ransomware-as-a-service)입니다.

이 Linux 기반 랜섬웨어는 많은 기업에서 더 쉽게 관리할 수 있도록 서버를 전환하는 VMware ESXi 서버를 대상으로 특별히 제작되었습니다. ESXi서버 한 대는 여러 대의 가상 머신을 호스팅 할 수 있고, 따라서 회사를 위해 중요하고 많은 서비스를 호스팅 할 수 있기 때문에 사이버 범죄자들에게 매우 좋은 공격 대상입니다.

 

이 랜섬웨어는 ELF 실행 파일로 제공되며, 수동으로 실행할 경우 사용자에게 다음과 같은 사용 옵션이 제공됩니다.

 

 

설치 후 Avoslocker는 ESXi 호스트 내에서 실행 중인 모든 가상 시스템의 전원을 끄기 위해 다음 명령을 실행합니다.

 

또한, 암호화된 모든 파일에 “.avoslinux” 확장자가 추가됩니다.

 

공격자들의 피해자들에게 파일이 영구적으로 손상되는 것을 막기 위해 시스템을 종료하는 것을 피하도록 아래와 같은 몸값 노트를 남기게 됩니다.

 

피해자들은 파일 복구를 위해 지불방식과 자세한 사항을 확인하기 위해 몸값 노트에 안내되어있는 사이트에 토르 브라우저를 통해서만 접속이 가능합니다.