분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] HelloKitty 랜섬웨어

TACHYON & ISARC 2021. 3. 11. 10:38

"HelloKitty" 랜섬웨어는 자사 블로그에 Hyper-V 사용자를 공격하는 신종 랜섬웨어 이슈와 CD PROJEKT RED 피해 이슈로 인해 분석돼 게시된 바 있다. 최근 해당 랜섬웨어의 추가 조사 결과, 기존에 게시된 이슈 외의 피해사례와 관련 샘플을 획득했고 랜섬노트 상단에 공격 대상으로 지정한 기업을 명시한다는 특징을 발견했다.

 

 

  랜섬노트

지난 2, 비디오 게임 업체인 CD PROJEKT RED “HelloKitty” 랜섬웨어 공격을 받아 운영에 차질을 빚었다. 피해 기업은 사이버 공격을 당한 직후, 공식 트위터를 통해 랜섬웨어 공격을 받았다는 사실을 알리고, 감염된 PC에서 발견된 랜섬노트를 공개했다.

이들이 공개한 랜섬노트는 피해 기업명인 CD PROJEKT로 시작하며 Cyberpunk 2077 등의 코드를 탈취했다는 내용이 작성돼 있다. 또한, 파일 복구를 위한 랜섬머니 지불 기한을 2일로 제한하여 피해 업체 측에서 추가적인 대응을 할 수 없도록 유도했다.

 

[그림  1] HelloKitty  랜섬웨어 랜섬노트  - CD PROJEKT RED

 

작년 12월 말에는 브라질 전력 회사인 CEMIG가 랜섬웨어 공격을 받아 업무에 지장이 생겼다. 피해 기업은 사건 발생 2일 뒤, 사이버 공격을 당해 일부 서버가 피해를 입었고 관련 사항에 대해 조사 중이라는 내용을 공식 페이스북에 게시했다.

CEMIG 공격에 사용된 랜섬웨어의 랜섬노트에는 [그림 2]와 같이 피해 기업명인 CEMIG가 명시돼 있으며, 개인 정보 등을 포함하여 약 10TB의 데이터를 탈취했다는 내용이 작성돼 있다. 또한, “HelloKitty” 랜섬웨어 운영진은 랜섬머니 지불 기한을 1일로 제한하여 피해 기업에서 빠르게 랜섬머니를 지불하도록 유도했다.

 

[그림  2] HelloKitty  랜섬웨어 랜섬노트  - CEMIG

 

또한, “HelloKitty” 랜섬웨어 운영진은 프랑스 IT 서비스 기업인 Technology and Strategy Informatique On Line을 공격 대상으로 삼으려 했던 것으로 보인다. 해당 내용은 [그림 3]의 랜섬노트에 명시된 기업명으로 확인이 가능하지만 실제 피해 사례가 확인되지 않았다.

 

[그림  3] HelloKitty  랜섬웨어 랜섬노트  –  피해사례 미확인

 

다음 [그림 4]의 랜섬노트는 피해 기업명이 명시되지 않고 “Hello dear user”라는 문장으로 시작한다. 만약, 사용자가 “HelloKitty” 랜섬웨어에 감염되면 폴더마다 “read_me_lkd.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염사실을 알린다.

 

[그림  4] HelloKitty  랜섬웨어 랜섬노트  –  기타

 

 

  파일 암호화

감염된 컴퓨터의 파일은 암호화되며, 암호화가 완료된 파일은 [그림 5]와 같이 “.kitty”, “.crypted” 또는 “.crypt”,라는 확장자가 추가된다.

 

[그림  5]  암호화 결과

 

랜섬웨어 감염은 확장자의 제한이 없으며 사용중인 로컬 및 네트워크 드라이브에서 [ 1]의 목록을 제외한 모든 파일을 대상으로 진행된다.

 

[표  1]   암호화 제외 대상

 

  프로세스 및 서비스 종료

해당 랜섬웨어는 원활한 감염을 위해 데이터베이스 서버, 보안 소프트웨어 등과 관련된 프로세스와 서비스가 사용자 PC에서 실행되고 있을 경우 종료한다.

 

[표  2]  프로세스 및 서비스 종료 대상

 

 

HelloKitty” 랜섬웨어는 지정된 프로세스와 서비스를 종료하기 위해 taskkill.exe net.exe를 사용하며, 명령어는 [그림 6]과 같다.

 

[그림  6]  서비스 및 프로세스 종료 코드

 

  중복 실행 방지

또한, 중복 실행 방지를 위해 생성하는 뮤텍스 이름을 “HelloKittyMutex”로 사용하는 특징이 있다.

 

[그림  7] HelloKitty  랜섬웨어  –  뮤텍스

 

 

  로그 출력

추가로, 감염된 컴퓨터에서 [그림 8]과 같이 CMD 창을 띄워 진행 로그를 출력하기도한다.

 

[그림  8]  암호화 진행 로그 출력

 

"HelloKitty" 랜섬웨어는 지난 4달 동안 다수의 기업을 대상으로 금품을 뜯어냈다. 이들의 공격으로 인해 CEMIG CD PROJEKT RED가 피해를 입었다고 공식 발표했으며 이외에도 다른 기업들을 공격한 것으로 보이지만 실제 피해 사례는 알려지지 않았다.

또한, "HelloKitty" 랜섬웨어 운영진은 최근 추세에 따라 침투 과정에서 탈취한 정보를 빌미로 랜섬머니를 요구하는 이중 협박 전략을 주로 사용한다. 따라서, 각 기업에서는 임직원의 보안의식을 높이고 유출된 정보를 빌미로 랜섬머니를 요구할 경우 지불하지 말고 경찰당국에 신고할 것을 권장한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  9] TACHYON Endpoint Security 5.0  진단 및 치료 화면