분석 정보/리눅스 분석 정보

리눅스 환경으로 확대된 RansomEXX 랜섬웨어

TACHYON & ISARC 2021. 3. 31. 09:42

지난 3월 초 "RasnomEXX" 랜섬웨어가 인도네시아 국영석유회사를 공격하여 데이터를 탈취한 정황이 확인됐다. 해당 랜섬웨어는 2020 5월 미국 텍사스의 교통국(TxDOT)을 대상으로 한 사이버 공격을 시작으로 다수의 기업 및 공공기관에 피해를 줬다.

특히 2020 11월에는 리눅스 환경에서 동작하는 변종 랜섬웨어의 등장으로 브라질 고등 법원이 피해를 보았다. 해당 공격에 사용된 변종은 “RansomEXX” 랜섬웨어의 윈도우 버전과 동일한 모듈을 사용하여 파일을 암호화한다는 특징이 있다.

 

RansomEXX 랜섬웨어 피해 사례

2020 5월 처음 발견된 “RansomEXX” 랜섬웨어의 피해 사례를 조사한 결과, 기업 또는 공공기관을 위주로 공격한 것이 확인됐다. 대표적인 사례로 미국 텍사스의 교통국(TxDOT)과 일본 비즈니스 솔루션 업체인 Konica Minolta가 피해를 보았다.

작년 11월에는 브라질 고등 법원이 리눅스 환경에서 동작하는 변종 랜섬웨어 공격을 받아 법원 시스템에 문제가 발생했다. 최근에는 정보보안업체 DarkTracer에 의해 인도네시아 국영석유회사에서 탈취한 정보가 "RansomEXX" 랜섬웨어 운영진이 직접 운영하는 데이터 유출 사이트에 공개된 사실이 알려졌다.

 

[표 1] RansomEXX 랜섬웨어 피해사례

 

TxDOT (Texas Department of Transportation) / 법무부

2020.07.03 - 6월 랜섬웨어 동향 및 RasomEXX 랜섬웨어 분석보고서

 

Konica Minolta

- 2020.09.07 - 8월 랜섬웨어 동향 및 BitRansomware 랜섬웨어

 

IPG Photonics

- 2020.10.12 - 9월 랜섬웨어 동향 및 Dusk 랜섬웨어

 

브라질 고등 법원

작년 11월 초, 브라질 고등 법원이 “RansomEXX” 랜섬웨어 공격을 받아 법원의 사내 네트워크에 문제가 발생했다. 피해 기관은 공격을 당한 직후, ‘웹 사이트에 관련 사건에 대해 수사를 요청했다는 내용의 공식 성명을 발표했고, 일주일 뒤 시스템 및 사내 네트워크의 복구를 완료했다. 외신에 따르면 이번 공격에는 리눅스 환경에서 동작하는 “RansomEXX” 랜섬웨어 변종이 사용됐다고 알려졌다.

 

[그림 1] RansomEXX 변종 랜섬노트

 

인도네시아 국영석유회사

지난 3월 초, 인도네시아 국영석유회사가 "RansomEXX" 랜섬웨어 공격을 받은 정황이 포착됐다. 이러한 정황에 대해 정보보안업체 DarkTracer “RansomEXX” 랜섬웨어의 데이터 유출 사이트에서 피해 업체의 정보를 확인했다고 공식 트위터에 게시했다. 현재, "RansomEXX" 랜섬웨어 운영진은 피해 기업에서 획득한 정보 중 일부를 직접 운영하는 데이터 유출 사이트에 공개하며 데이터를 탈취했다고 주장 중이다.

 

[그림 2] 인도네시아 국영석유회사 탈취 정보 게시

 

리눅스 변종 특징

RansomEXX” 랜섬웨어의 변종은 [그림 3]과 같이 감염 대상 경로를 인자로 전달해야만 파일 암호화가 진행된다.

 

[그림 3] RansomEXX  랜섬웨어 실행

 

파일 암호화에는 블록 단위로 암호화하는 AES-256-ECB(electronic codebook)를 사용하며, AES 암호화에 사용되는 암호화 키는 RSA-4096으로 암호화되어 파일의 끝에 추가된다.

 

[그림 4] 파일 암호화 코드

 

암호화가 완료된 파일은 파일명에 “.stj888-[랜덤 8자리]” 확장자가 추가되며, [그림 5]와 같이 “’!NEWS_FOR_STJ I!.txt’”란 이름의 랜섬노트를 생성하여 사용자에게 감염사실을 알린다.

 

[그림 5] RasnomEXX 감염 및 랜섬노트

 

RansomEXX – 윈도우와 리눅스 버전 비교

RansomEXX” 랜섬웨어의 윈도우와 리눅스 버전 모두 파일 암호화를 위해 암복호화 지원 모듈인 Mbed TLS를 사용한다. [그림 6]은 두 버전이 서로 다른 플랫폼에 제작됐지만 동일한 모듈 사용으로 인해 코드 유사성이 높다는 점을 보여준다.

 

[그림 6] RansomEXX Linux(좌)와 Windows(우) 코드 비교

 

 

작년부터 큰 피해를 유발하고 있는 "RansomEXX" 랜섬웨어가 리눅스 환경에서도 감염할 수 있게 됐다. 해당 변종은 파일 암호화와 랜섬노트 생성과 같이 최소한의 기능으로 구성되어 있지만 감염될 경우 복구가 어려워 큰 피해를 일으킬 수 있다.

최근 랜섬웨어는 기업 및 공공기관 등의 특정 표적을 대상으로 공격하므로 다양한 보안 솔루션을 설치하고 보안 강화 외에도 임직원의 보안의식을 높여 사전에 대응할 수 있도록 할 것을 권장한다.

 

 

 

저작자표시 비영리 변경금지

'분석 정보 > 리눅스 분석 정보' 카테고리의 다른 글

소스코드가 공개된 EnemyBot 악성코드  (0) 2022.11.04
BlackBasta 랜섬웨어 리눅스 버전  (0) 2022.09.30
리눅스 장비를 노리는 XorDDoS 악성코드  (0) 2022.08.10
리눅스 환경에서 패킷 필터를 악용하는 BPFDoor 악성코드 발견  (0) 2022.08.09
과거 리눅스 커널 취약점 활용한 악성파일 유포 주의  (0) 2018.12.03

'분석 정보/리눅스 분석 정보'의 다른글

  • 현재글리눅스 환경으로 확대된 RansomEXX 랜섬웨어

관련글

댓글

티스토리툴바