동향 리포트/월간 동향 리포트

6월 랜섬웨어 동향 및 RasomEXX 랜섬웨어 분석보고서

TACHYON & ISARC 2020. 7. 3. 15:10

악성코드 분석보고서

 

1. 6월 랜섬웨어 동향

2020 6(6 01 ~ 6 30) 한 달간 랜섬웨어 동향을 조사한 결과, Maze 랜섬웨어 운영자가 국내 전자 회사를 공격했다고 주장하였고, 해외에서는 일본의 혼다와 남미의 에넬 아르헨티나(Enel Argentina) Snake 랜섬웨어 공격을 받았다. 또한, 미국의 캘리포니아 대학교를 비롯한 몇몇 대학도 Netwalker 랜섬웨어에 공격받아 데이터가 유출된 사건이 있었다.

 

이번 보고서에서는 6월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 6월 등장한 RansomEXX 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.

 

 

1-1. 국내/외 랜섬웨어 소식

국내 전자 회사, Maze 랜섬웨어 피해 사례

최근 Maze 랜섬웨어가 국내 전자 회사를 공격했다고 주장하고 있다. 해당 랜섬웨어 운영자는 유출된 데이터가 약 40GB 정도이며 소스 코드 파일 목록과 내용 일부 등을 유출 사이트에 게시하였다고 밝혔다. 이에 해당 기업은 관련 건에 대해 유출된 정보가 없고 소스 코드도 실제 확보했는지 여부를 알 수 없다고 일축했다.

 

[그림  1] Maze  랜섬웨어 랜섬노트

 

 

일본의 혼다, 남미의 친환경 에너지 공급업체 에넬 아르헨티나(Enel Argentina), Snake 랜섬웨어 피해 사례

이번엔 일본의 혼다와 남미의 친환경 에너지 공급업체인 에넬 아르헨티나(Enel Argentina) Snake 랜섬웨어 공격을 받았다. 이번 공격에 사용된 샘플에는 각 기업의 IP 주소 및 내부 시스템 이름이 하드코드 되어 있었다고 한다. 현재, 전문가들은 Snake가 공격 전에 충분한 사전 조사가 이뤄졌다고 판단하여 데이터가 유출됐을 가능성이 높다고 보고 있다. 아직 자세한 피해 상황 및 요구 몸값은 알려진 바가 없으며 산업 제어 시스템(ICS)을 주로 표적 공격하므로 각 기업의 주의가 필요하다.

 

[그림  2] Snake  랜섬웨어 랜섬노트

 

 

미국 UCSF (University of California San Francisco), Netwalker 랜섬웨어 피해 사례

최근 UCSF (University of California San Francisco) Netwalker 랜섬웨어 공격을 받았다. Netwalker 랜섬웨어는 지난 5 28일 미시간 주립 대학을 공격하고, 콜럼비아 대학을 공격하며 지속적으로 미국 대학들을 공격하고 있다. 이번 공격으로 인해 UCSF의 직원, 학생, 연구 및 재무 관련 정보가 유출되었으며 Netwalker 운영자는 유출된 정보의 일부를 스크린샷으로 공개했다. 아직 정확한 피해 규모 및 몸값에 대하여 알려진 것은 없으며, 탈취한 정보를 이용해 몸값을 요구하므로 각 기업 및 대학의 주의가 필요하다.

 

[그림  3] Netwalker  랜섬웨어 랜섬노트

 

 

1-2. 신종 및 변종 랜섬웨어

DualShot 랜섬웨어

최근 윈도우 구성 프로그램인 ICS Unattend Utility로 위장하는 DualShot 랜섬웨어가 발견되었다. 해당 랜섬웨어는 인자 값에 따라 동작이 달라지며 사용하는 인자는 /inin, /ainain이다. 해당 샘플이 실행되면 ‘%AppData%\Local’에 자가복제하며 바탕화면 등의 주요 경로의 파일을 암호화한 후, “.desc” 확장자를 덧붙인다. 만약, 사용자가 DualShot 랜섬웨어에 감염되면 바탕화면, 다운로드 폴더 등 사용자의 주요 파일을 암호화하므로 주의가 필요하다.

 

[그림  4] DualShot  랜섬웨어 랜섬노트

 

 

Avaddon 랜섬웨어

최근 악성 메일의 첨부파일을 통해 유포되는 Avaddon 랜섬웨어가 발견되었다. 해당 메일의 첨부파일에는 Avaddon 랜섬웨어를 다운 및 실행할 수 있는 자바스크립트 파일이 존재하며 사용자가 이를 실행할 경우, 파일 암호화가 진행된다. 만약, Avaddon 랜섬웨어에 감염되면 볼륨 섀도우 복사본 삭제 및 자동 복구 비활성화 설정 등으로 인해 복구가 무력화된다. 또한, 감염된 파일은 “[랜덤 숫자]-readme.html” 확장자가 추가되고 [그림 5]의 랜섬노트가 생성된다. 따라서, 해당 랜섬웨어에 감염된다면 복구가 불가능하므로 사용자의 주의가 필요하다.

 

[그림  5] Avaddon  랜섬웨어 랜섬노트

 

 

Zorab 랜섬웨어

2018년에 등장한 STOP(Djvu) 랜섬웨어의 해독기를 가장한 Zorab 랜섬웨어가 발견되었다. 해당 파일은 “Decrypter DJVU”라는 이름으로 유포되고 있으며, 실행 시 Zorab 랜섬웨어가 실행된다. 암호화가 완료되면 ‘.ZRB’ 확장자가 추가되며, 자동 실행 파일(autorun.inf)을 생성하여 부팅 시에 해당 랜섬웨어가 자동으로 실행되도록 한다. 만약, 랜섬웨어 해독기로 위장한 Zorab 랜섬웨어에 감염되면 STOP DJVU 랜섬웨어와 더불어 2차 피해가 발생할 수 있음으로 사용자의 상당한 주의가 필요하다.

 

[그림  6] Zorab  랜섬웨어 랜섬노트

 

 

 

2. RasomEXX 랜섬웨어 분석보고서

최근 미국 텍사스의 법원과 교통국(TxDOT) RasomEXX로 불리는 랜섬웨어의 공격을 받았다. 해당 랜섬웨어는 정부 기관 및 기업을 대상으로 표적 공격하며 감염되면 파일 확장자가 해당 기업의 이름(.txd0t)으로 변경된다. 또한, 볼륨 섀도우 복사본 및 이벤트 로그 삭제로 인해 복구가 불가능하므로 각 기업 및 공공기관의 상당한 주의가 필요하다.

 

RansomEXX 랜섬웨어가 실행되면 먼저 감염 로그를 출력하는 콘솔 창을 띄워 감염이 시작됐음을 알린다. 이 콘솔 창은 암호화가 완료된 후, 결과와 작업 시간 로그를 출력하고 종료한다.

 

[그림  7]  랜섬웨어 감염 로그 콘솔 창

 

 

해당 랜섬웨어는 원활한 감염을 위한 사전 작업으로 보안 소프트웨어(MCAfee, Sophos), 데이터베이스 및 메일 서버 등 총 289개의 서비스와 프로세스를 종료한다.

 

[표  1]  프로세스 종료 대상

 

 

또한, [ 2]의 목록에 해당하는 확장자, 폴더 및 파일은 암호화 대상에서 제외된다.

 

[표  2]  암호화 제외 대상

 

 

다음으로, [ 3]의 명령어를 실행하여 볼륨 섀도우 복사본 삭제 등 복구와 관련된 기능을 사용하지 못하도록 설정한다.

 

[표  3]  복구 무력화 명령어

 

 

암호화가 완료된 파일은 [그림 8]과 같이 “.txd0t” 확장자가 추가되며, 해당 확장자는 랜섬웨어 운영자가 타겟으로 지정한 기업 및 공공기관의 이름이다.

 

[그림  8]  암호화 결과

 

 

암호화가 완료된 폴더에는 “!TXDOT_READ_ME!.txt”란 이름의 랜섬노트가 생성되며, 해당 랜섬노트의 첫 줄에 랜섬웨어의 감염 대상(Texas Department of Transportation)이 명시되어 있다.

 

[그림  9] RasomEXX  랜섬웨어 랜섬 노트

 

 

이번 보고서에서 알아본 RansomExx 랜섬웨어는 기업 및 공공기관을 표적 공격하며 해당 랜섬웨어에 감염되면 암호화된 파일에 표적이 된 기업의 이름이 추가된다. 또한, 복구와 관련된 기능을 사용하지 못하게 하여 복구가 불가능해 기업의 상당한 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 중요한 자료는 별도의 저장공간에 보관할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림  10] TACHYON Endpoint Security 5.0  진단 및 치료 화면