미국 CISA가 2023년 2월 8일 랜섬웨어인 엑시악스(ESXiArgs) 피해를 입은 가상 머신 복원용 툴(ESXiArgs-Recover)을 출시했다. 엑시악스는 2월 초부터 전 세계적으로 맹위를 떨치고 있으며 미국 플로리다주 법원 시스템을 포함한 3,800대 이상 서버가 피해를 입은 것으로 보고됐다.
CISA가 깃허브에 발표한 엑시악스-리커버에 대한 이 스크립트는 보증 없이 제공되는 만큼 시스템에 미치는 영향을 이해하지 않고 사용하지 말라면서 CISA는 이 스크립트로 인해 발생한 손해에 대해 책임지지 않는다는 말로 신중한 사용을 호소하고 있다.
엑시악스 위협이 처음으로 밝혀진 건 프랑스 사이버 보안 당국인 CERT-FR이 2월 3일 가상 서버 구축 소프트웨어(VMware ESXi)를 노린 랜섬웨어가 확인됐다고 발표하면서다. 전해지는 바에 따르면 엑시악스는 OpenSLP라는 네트워크 프로토콜에서 발견된 알려진 취약성을 악용하고 수정 패치가 적용되지 않은 VM웨어 ESXi 서버를 표적으로 하고 있다는 것. 이 랜섬웨어에 감염되면 파일이 암호화되어 몸값을 요청하는 메시지가 표시된다. CISA가 수집한 비트코인 주소 목록에 따르면 지금까지 서버 2,800대가 암호화된 것으로 보인다고 한다. 또 CISA는 엑시악스 침해를 받은 서버는 전 세계에서 3,800대가 있다고 밝히고 그 중에는 미국 플로리다주 법원 시스템과 조이아공대 등 구미를 중심으로 한 다수 공공기관이나 고등교육 기관이 포함되어 있다.
다만 엑시악스에는 가상 디스크 데이터가 보존되는 플랫 파일을 암호화할 수 없는 실수가 있다는 지적이 있으며 지금까지 모인 몸값은 8만 8,000달러로 대규모 랜섬웨어 공격으로는 상당히 소액이라는 정보도 있다.
엑시악스에 존재한 결함을 바탕으로 터키 기업(Yöre Group)에선 엑시악스가 암호화하지 못한 플랫 파일에서 가상 머신을 재구성하는 방법을 발견하는데 성공했다고 발표했다. 하지만 절차가 너무 복잡해 적용하기는 어렵다는 의견이 많다. 여기에서 CISA가 복구 방법 일부를 자동화하는 스크립트를 작성해 공개한 게 바로 엑시악스-리커버다.
CISA는 앞으로 랜섬웨어 공격을 방지하고 만일 피해를 입은 경우 영향을 줄이기 위해 정기적인 백업이나 인시던트 대응 계획 수립, 멀웨어 대책 소프트웨어 도입 등을 실시하라고 호소하고 있다. 관련 내용은 이곳에서 확인할 수 있다.