랜섬웨어 공격의 진화가 계속되는 가운데, 최근 주목할 만한 사건은 SEXi 랜섬웨어 운영이 APT INC로 재브랜딩된 것이다. 이 사이버 범죄 그룹은 정교한 암호화기를 사용하여 VMware ESXi 서버를 대상으로 하며, 기업 운영을 방해하고 막대한 몸값을 요구하고 있다.

SEXi 랜섬웨어는 2024년 초 처음으로 악명을 떨쳤으며, 주로 VMware ESXi 서버를 대상으로 했다. 공격자들은 리눅스 기반 시스템에는 유출된 Babuk 암호화기를, 윈도우 시스템에는 LockBit 3 암호화기를 사용했다. 초기 공격은 칠레의 호스팅 제공업체인 IxMetro Powerhost를 대상으로 한 사건으로 인해 큰 주목을 받았다. 이 공격으로 회사의 VMware ESXi 인프라가 마비되고 중요한 가상 머신과 백업 데이터가 암호화되었다.

랜섬웨어의 이름인 SEXi는 암호화된 파일에 추가되는 .SEXi 확장자와 SEXi.txt 몸값 메모에서 유래되었다. 후속 조사에서는 SOCOTRA, FORMOSA, LIMPOPO라는 추가 변종도 발견되었다.

2024년 6월, 랜섬웨어 운영은 APT INC로 재브랜딩되었다. 새로운 이름에도 불구하고, 그룹은 동일한 Babuk과 LockBit 3 암호화기를 계속 사용했다. 공격 방법 역시 일관되게 VMware ESXi 서버에 침투해 가상 머신 관련 파일을 암호화하고 거액의 몸값을 요구하는 방식이었다. 몸값 메모는 종종 Session 암호화 메시징 애플리케이션을 통해 전달되었으며, 이는 이전에 SEXi에서 사용된 것과 동일한 주소를 사용하고 있었다.

APT INC는 수많은 조직에 영향을 미쳤으며, 몸값 요구는 수만 달러에서 수백만 달러에 이르렀다. 피해자들은 암호화기가 매우 견고해 몸값을 지불하지 않고 파일을 복구하는 것이 극히 어렵다고 보고했다.

VMware와 다른 사이버 보안 전문가들은 시스템을 최신 패치로 업데이트할 것을 권장했다. 이러한 랜섬웨어 운영조직이 악용한 ESXi 서버의 취약점은 대부분 이미 알려진 것이었고, 이에 대한 패치도 제공되었다. 그러나 패치되지 않은 시스템과 노출된 관리 인터페이스는 여전히 큰 위험 요소로 남아 있다.

보안전문가들은 이러한 공격 위험을 줄이기 위해 조직은 다음과 같은 조치를 취할 것을 권장한다. 

-정기적인 시스템 업데이트 및 패치: 모든 VMware 제품이 최신 상태로 유지되도록 해야 한다.

-보안 구성 강화: vSphere Security Configuration Guides를 사용하여 방어력을 강화해야 한다.

-관리 인터페이스 접근 통제: 이러한 인터페이스의 인터넷 노출을 제한하고 엄격한 접근 통제를 구현해야 한다.

-다중 인증 도입: 접근을 위해 추가적인 인증 방법을 요구하여 보안을 강화해야 한다.

-정보 유지: 취약점과 위협에 대한 사전 통지를 받기 위해 보안 자문 메일링 리스트에 가입해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★