ESXi 서버를 표적으로 삼는 Sodinokibi 랜섬웨어의 Linux 버전이 발견
ESXi 서버를 표적으로 삼는 Sodinokibi 랜섬웨어의 Linux 버전이 발견되었다.
더 쉬운 백업과 장치 관리를 위해 기업이 가상 머신을 활용함에 따라 랜섬웨어 그룹들은 VM에서 사용하는 스토리지를 대량 암호화하는 자체 도구를 점점 더 많이 만들고 있다. Sodinokibi의 리눅스 변종은 ELF64 실행파일이며 일반적인 윈도우 실행파일에서 사용하는 것과 동일한 구성 옵션을 포함한다. Linux 변종이 출시된 이후 공개된 것은 이번이 처음이며 서버에서 실행될 때 공격자는 암호화 경로를 지정하고 자동 모드를 활성화할 수 있다. 따라서 Sodinokibi 랜섬웨어 악성코드는 ESXi에서 파일을 잠그지 않고도 파일을 암호화할 수 있다. 이러한 방식으로 가상 머신을 대상으로 지정함으로써 Sodinokibi는 단일 명령으로 한 번에 많은 서버를 암호화하는 것으로 나타났다.
한 전문가는 Babuk, Mespinoza, DarkSide, Hellokitty와 같은 다른 랜섬웨어도 ESXi 가상 머신을 대상으로 하는 Linux 암호기를 생성했다며 각별한 주의를 당부했다.