위협 환경이 변화함에 따라 위협 행위자들은 계속해서 전략을 바꾸고 있습니다.
특히, 데이터 유출 전략은 일반적으로 데이터 암호화와 함께 사용되는 반면, 4분기에는 몸값을 지불한 유출 전용 피해자 수가 증가했습니다.
유출은 암호화 이전의 기존 랜섬웨어 공격에서 흔히 볼 수 있는 "강탈" 방식을 반영합니다. 보안이 취약한 클라우드 기반 애플리케이션과 클라우드 인프라에서도 이러한 방식이 발생합니다.
데이터 유출과 더불어, 민감한 유출 데이터의 접근과 공개를 제한하기 위해 암호화를 결합하는 이중 강탈(double extortion)로의 전환과 함께, 침입 후 공격 시작까지의 시간인 체류 시간(dwell time)도 단축되었으며, 많은 공격이 단 몇 시간 만에 발생했습니다.
2024년 2분기에 Veeam의 Coveware는 상위 3대 랜섬웨어 공격자 중 2곳의
평균 체류 시간이 24시간 미만이었다고 밝혔습니다.
이는 이전 분기에 비해 현저히 감소한 수치이며, 이러한 추세는 4분기에도 지속되었습니다.
위협 행위자가 피해자의 네트워크에 침투하면, 횡적 이동 기법을 사용하는 경향이 있습니다. 쉽게 데이터를 빼낼 수 있는 방법을 찾거나, #VMware ESXi 하이퍼바이저를 침해하는 것과 같은 특정 목표를 노려 피해자에게 몸값을 지불하도록 유도합니다.
이처럼 효율적이고 잘 연습된 전략은 탐지 및 억제가 어려운 빠른 공격으로 이어지는 경우가 많습니다.
#VMware ESXi
[실제 사례] VMware ESXi 서버를 노린 대규모 랜섬웨어 공격 발생!
2023년 2월, 유럽과 북미를 중심으로 수백 개 기업이 단 하루 만에 VMware ESXi 하이퍼바이저를 노린 랜섬웨어 공격(ESXiArgs) 에 피해를 입었습니다.
HOw?
랜섬웨어 공격자는 ESXi 의 취약한 서비스(OpenSLP) 를 통해 시스템에 침입했습니다.
그리고 가상 머신(VM) 디스크 파일인 .vmdk 파일을 포함한 주요 데이터를 암호화하고, 금전(몸값)을 요구하는 방식으로 진행되었습니다.
그럼 어떻게 해야 하나요?
즉시, 보안 조치 와 데이터 보호 전략이 필요합니다.
!즉시 적용해야 할 보안 조치
- ESXi 최신 보안 패치(CVE-2021-21974) 적용
- SLP 서비스 비활성화
- SSH 포트 접근제한 / MFA 설정
- Root 계정 비활성화
데이터 보호 전략
- Immutable 백업(Veeam, Quest QoreStor 등) 도입
- VMDK 복구 가능한 백업 솔루션 구축
- 네트워크 분리된 오프사이트 백업 보관
단순히 백업만 한다고 모든 것이 안전할까요?..
*ESXiArgs는 2023년 초에 전 세계적으로 확산된 VMware ESXi 하이퍼바이저를 표적으로 한 랜섬웨어 공격 캠페인의 이름입니다. 이름에서 알 수 있듯이, 이 공격은 ESXi 서버를 노리고, 공격자가 암호화에 사용한 확장자 .args에서 유래했습니다.
'VEEAM' 카테고리의 다른 글
| 🎬 픽사 토이 스토리 2, 한때 완전히 삭제되었던 이야기 (실화) (0) | 2025.04.20 |
|---|---|
| 왜 Veeam 백업에는 SQL Server가 꼭 필요한가요? 설치 이유 완전 정리! (1) | 2025.04.17 |
| Veeam 백업 구축 - Secure boot에 의한 ISSUE (1) | 2025.04.10 |
| VEEAM 조달 상품 안내 디지털서비스몰 "VEEAM" 검색 (0) | 2025.04.10 |
| 💾 랜섬웨어 대응 백업 전략, ExaGrid의 Time-Lock 기술로 완성하세요! (0) | 2025.04.08 |