최근, 리눅스 버전을 타겟으로 한 DarkSide 랜섬웨어가 AT&T Alien Labs 에 의해 발견됬다. 보안 연구원들은 상세 분석 보고서를 공개 했으며 DarkSide 그룹은 지난 분기에 가장 활발한 랜섬웨어 중 하나였다. 이들은 5월에 발생했던 Colonial Pipeline 공격사태 이 후 운영을 중단한다고 주장한 바 있다.

 

대부분의 리눅스 기반으로 제작된 랜섬웨어는 비밀번호를 통한 압축으로 암호화를 진행했지만, DarkSide는 라이브러리를 이용해 파일을 암호화한다. 때문에 암호화 키 없이는 데이터를 복구할 수 없다. 이번에 발견된 샘플들은 VMware 가상 머신을 호스팅하는 ESXi 서버를 대상으로 한 버전으로 랜섬웨어 운영자들은 3월 9일 DarkSide 랜섬웨어 리눅스 버전을 발표했다. 공개된 보고서에 따르면 ESX 서버 시스템의 Root 경로, 정보, 로그 및 데이터를 노렸다.

 

[그림1. DarkSide 리눅스 버전 소개]

 

[그림2. ESX 시스템 관련 커맨드]

 

 

 

랜섬웨어가 실행되면 터미널에 관련 정보가 표시되며 암호화할 경로, RSA키 정보, 암호화 된 확장자, C2등이 표시된다.

 

[그림3. DarkSide 설정]

 

 

 

파일 암호화는 RSA 4096 키를 사용해 ChaCha20 알고리즘으로 암호화 한다. 파일 끝에는 암호화 시 사용된 Key가 붙게되며 최종적으로 랜섬노트가 생성된다고 연구원들이 밝혔다.

 

[그림4. 파일 암호화 후 키 저장]

 

[그림5. 랜섬노트]

 

 

 

AT&T는 "랜섬웨어 피해를 방지하기 위해서는 보안 업데이트로 소프트웨어를 최신상태로 유지하고 백업 시스템을 구축해야한다. 마지막으로 모든 서비스에 이중 인증과 같은 추가적인 보안 요소가 추가 되어야 한다." 고 주의를 요구했다.

 

출처

 

https://cybersecurity.att.com/blogs/labs-research/darkside-raas-in-linux-version

 

https://cyware.com/news/the-linux-version-of-darkside-ransomware-223ea813