Abyss Locker는 2023년 3월에 시작된 신규 랜섬웨어 작전으로, 기업을 공격하기 시작했습니다. 랜섬웨어 작전은 대개 기업 네트워크를 침투하여 더블 익스토션을 위한 데이터를 훔치고 네트워크의 장치를 암호화합니다. 이때 훔친 데이터는 랜섬이 지불되지 않을 경우 파일을 유출하겠다는 협박으로 이용됩니다. 이를 위해, Abyss Locker의 협상가 역할을 하는 사람들이 'Abyss-data'라는 Tor 데이터 유출 사이트를 만들어 현재 14명의 피해자를 나열해 놓았습니다.
이번 주에 보안 연구원인 MalwareHunterTeam은 Abyss Locker 작전용 Linux ELF 암호화기를 발견하고 분석을 위해 BleepingComputer에 공유했습니다. 실행파일에서의 문자열을 보면 VMware ESXi 서버를 특정 대상으로 암호화하는 것으로 보입니다. 같은 계열의 랜섬웨어 작전 중 Linux 암호화기를 활용하면서 대부분 VMware ESXi를 대상으로 하는 것들로는 Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive 등이 있습니다.
Abyss Locker Linux 암호화기는 Hello Kitty 기반으로 ChaCha 암호화를 사용한다고 랜섬웨어 전문가 Michael Gillespie이 말했습니다. 그러나 이것이 HelloKitty 운영을 재정비한 것인지, 아니면 다른 랜섬웨어 작전이 암호화기의 소스 코드에 접근한 것인지는 알려지지 않았습니다. 불행히도, HelloKitty는 일반적으로 안전한 랜섬웨어로 알려져 있어, 파일을 무료로 복구하는 것을 방해하고 있습니다.
요약
- Abyss Locker는 신규 랜섬웨어 작전으로 기업을 공격하며, 훔친 데이터를 이용해 랜섬이 지불되지 않을 경우 파일을 유출하겠다고 협박한다.
- VMware ESXi 서버를 특정 대상으로 하는 Linux ELF 암호화기를 BleepingComputer에 공유하였다.
- Michael Gillespie에 따르면, Abyss Locker Linux 암호화기는 Hello Kitty 기반으로 ChaCha 암호화를 사용하며, 이것이 HelloKitty 작전의 재정비인지 다른 랜섬웨어 작전이 암호화기의 소스 코드에 접근한 것인지는 확인되지 않았다.
Reference
*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.