동향 리포트/월간 동향 리포트

10월 랜섬웨어 동향 및 Paradise 랜섬웨어 분석보고서

TACHYON & ISARC 2019. 11. 8. 11:22

1. 10월 랜섬웨어 동향

2019년 10월(10월 01일 ~ 10월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 웹호스팅 업체가 랜섬웨어공격을 받아 서비스가 마비된 사건이 있었다. 해외에서는 글로벌 운송회사인 Pitney Bowes가 랜섬웨어 공격을 받았으며, 남아프리카공화국의 요하네스버그시청이 랜섬웨어 공격으로 웹사이트 및 공공서비스가 마비된 사건이 있었다.
이번 보고서에서는 10월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 10월 등장한 Paradise 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.


1-1. 국내/외 랜섬웨어 소식

웹 호스팅 업체 랜섬웨어 피해 사례

10월 30일, 국내 한 웹 호스팅 업체가 랜섬웨어에 감염되어 홈페이지 접속이 마비됐다. 해당 업체에 따르면 30일 밤 10시경 랜섬웨어 공격을 받아 데이터 변조 사건이 발생했으며, 현재 해커와의 협상 중 과도한 금액을 요구하는 바람에 해결하는데 상당한 시간이 걸릴 것으로 예상된다며 고객들에게 사과 문자메시지를 보낸 것으로 알려졌다. 아직 해당 랜섬웨어의 종류나 유포 경로에 대해서는 정확히 알려지지 않았으며, 해당업체의 홈페이지는 아직도 접속 불가능 상태이다.
 

[그림 1] 피해 웹 호스팅 업체에서 고객들에게 보낸 문자메시지 (출처: sir.kr)



 

미국 운송회사 Pitney Bowes, 랜섬웨어 피해 사례

10월 중순, 미국에 본사를 둔 글로벌 운송회사인 Pitney Bowes가 랜섬웨어 피해를 입었다. 해당 업체에 따르면 14일 랜섬웨어 공격을 받았으며, 메일링 서비스, 일부 상거래 관련 서비스등 일부 서비스가 마비된 것으로 알려졌다. 현재는 복구가 완료된 상태로 밝혔으며, 공격을 받은 랜섬웨어는 Ryuk 랜섬웨어인 것으로 밝혀졌다. 한편, Ryuk 랜섬웨어는 지난해 여름 처음 등장해서 주로 기업을 대상으로 하는 표적형 공격에 주로 이용되었다.

[그림 2] Ryuk 랜섬웨어 랜섬노트



남아프리카공화국 요하네스버그 시청, 랜섬웨어 피해 사례

10월 말, 남아프리카공화국의 요하네스버그 시청이 랜섬웨어 공격을 받았다. 시청 측은 누군가 IT 시스템에 불법적으로 접근한 사실을 공개하고, 시청의 공식 웹사이트 및 몇 개의 공공 서비스가 마비된 사실을 알렸다. 그러나 시청 측은 랜섬머니를 지불하지 않고 데이터를 복구할 것이라고 알렸으며, 랜섬웨어의 종류나 유포 경로에 대해서는 알려지지 않았다고 전했다.


1-2. 신종 및 변종 랜섬웨어

Nemty Revenge 2.0 랜섬웨어

8월부터 발견된 Nemty 랜섬웨어가 10월 초부터 V1.5, V1.6에 이은 V2.0까지 연속적으로 발견되었다. 랜섬노트에 명시된 버전을 제외하고는 암호화 방식이나 유포 방식 등 기존 버전과 눈에 띄는 차이점은 존재하지 않는다. 그러나 10월 초부터 지속적으로 버전업이 된 상태로 발견되고 있는 만큼 사용자들은 항상 주의를 기울일 필요가 있다.

[그림 3] Nemty Revenge 2.0 랜섬웨어 랜섬노트



Muhstik 랜섬웨어

Muhstik 랜섬웨어는 노출된 QNAP NAS 기기를 해킹해서 유포하는 방식으로 여러 사용자들에게 피해를 입혔다. 최근 랜섬웨어 피해자중 한명이 복호화를 위해 랜섬머니를 지불한 후 공격자의 명령 및 제어 서버를 해킹하는 사건이 있었다. 피해자는 2858명의 피해자에 대한 암호화 해독키를 알아낸 후 랜섬웨어 해독기를 제작 했다. 해독기는 Muhstik 지원 포럼과 트위터를 통해 피해자들에게 전달된 것으로 알려졌다.

 

BitPaymer 랜섬웨어

최근 Apple iTunes 또는 iCloud 프로그램을 설치 할 때 함께 설치되는 Bonjour 서비스의 취약점(Exploit)을 통해 BitPaymer 랜섬웨어가 실행된다는 정보가 알려졌다. 해당 사건이 알려지고 나서 Apple은 해당 소프트웨어 패치를 진행하여 취약점을 해결한 것으로 알려졌다. 한편, BitPaymer 랜섬웨어는 2018년 하반기, 미국 PGA 미국 오피스 컴퓨터들을 감염시키면서 알려진 랜섬웨어로, 암호화 후 .locked 확장자를 붙이며, 랜섬노트는 암호화 한 파일명 뒤에 ‘readme_txt’를 붙여서 사용한다.

[그림 4] BitPaymer 랜섬웨어 랜섬노트



 

2. Paradise 랜섬웨어 분석보고서

Paradise 랜섬웨어는 2017년 하반기 처음 발견되어 현재까지 꾸준히 변종이 발견되고 있다. 최근에는 암호화 확장자에 ‘Kim Chin Im’ 이라는 한국 이름을 사용한 것으로 보이는 변종이 발견되었다. 웹사이트 접속 중 취약점(Exploit)을 이용하여 유포 된다고 알려진 이 랜섬웨어는 모든 파일을 암호화 대상으로 하기 때문에 사용자들은 주의를 기울일 필요가 있다.
이번 보고서에서는 최근에 등장한 Paradise 랜섬웨어에 대해 알아보고자 한다.


 

2-1. 파일 정보



2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.


 

2-3. 실행 과정

Paradise 랜섬웨어가 실행되면 특정 경로에 자신을 복제한 뒤 본격적인 동작을 시작한다. 암호화 조건에 맞는 파일을 암호화 하고 [그림 5] 와 같이 랜섬노트를 통해 복호화 방법을 안내한다. 쉐도우 복사본을 삭제하여 시스템 복구를 불가능 상태로 만들고, 원본 파일을 삭제하면서 동작을 마무리한다.
 

[그림 5] Paradise 랜섬웨어 랜섬노트




3. 악성 동작

3-1. 파일복제

먼저, ‘C:\Users\[사용자명]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup’ 경로에 [그림 6] 과 같이 ‘[임의의파일명].exe’ 로 자기 자신을 복제한다.

[그림 6] 파일 복제



3-2. 파일 암호화

사용자 PC를 탐색하여 아래 [표 1] 에 해당하는 경로를 제외하고 암호화를 진행한다.

[표 1] 암호화 제외 경로



 

암호화 된 파일은 [그림 7] 와 같이 ‘_Kim Chin Im_{임의의문자열}.Im’ 확장자를 추가한다. 마치 한국 이름을 사용하여 랜섬웨어를 제작한 것으로 보인다.
 

[그림 7] 암호화 된 파일




 

3-3. 시스템 복원 지점 삭제

암호화 완료 후에 ‘vssadmin.exe’ 파일을 실행하여 [그림 8] 과 같은 명령어를 실행한다. 해당 명령어는 윈도우 볼륨 쉐도우 복사본을 삭제하여 시스템 복원 기능을 무력화 한다.
 

[그림 8] 시스템 복원 지점 삭제 명령 실행 코드




 

3-4. 원본 실행 파일 삭제

모든 동작이 완료된 후에는 [그림 9] 와 같은 명령어를 실행하여 원본 실행 파일을 삭제한다.

[그림 9] 원본 파일 삭제 명령어



4. 결론

Paradise 랜섬웨어는 장기간에 걸쳐 지속적으로 변종이 등장하고 있다. 아직 자세한 유포 경로나 큰 피해사례가 알려지진 않았지만, 최근 발견된 변종은 한국 이름을 사용하여 랜섬웨어를 제작한 것으로 보이는 만큼 한국을 대상으로 유포 될 가능성이 있으므로 사용자들은 주의를 기울일 필요가 있다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

[그림 10] TACHYON Internet Security 5.0 진단 및 치료 화면



 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
 

[그림 11] TACHYON Internet Security 5.0 랜섬웨어 차단 기능