분석 정보/랜섬웨어 분석 정보

AstroLocker로 변경된 MountLocker 랜섬웨어

2020 7월 말에 처음 등장한 MountLocker 랜섬웨어는 현재 AstroLocker 랜섬웨어로 이름을 바꾸어 활동하고 있다.

해당 내용의 증거로 기존에 사용하던 MountLocker 데이터 유출 사이트는 Astro Team이라는 데이터 유출 사이트로 이관하여 동일한 탈취 데이터가 게시됐고, 랜섬머니 협상을 위한 채팅 사이트에서는 본인들을 AstroLocker Team이라고 칭하기 시작했다. 또한, 파일과 암호화 키를 암호화하는 루틴 및 랜섬노트가 MountLocker AstroLocker가 동일한 것을 확인할 수 있었다.

 

[그림 1] AstroLocker Team 랜섬머니 채팅 사이트

 

아래의 링크는 자사에서 분석한 MountLocker 랜섬웨어의 동작 정보이며 해당 글과 비교하여 AstroLocker 랜섬웨어와의 차이점을 확인하고자 한다.

[링크 : 2020.11.25 - [랜섬웨어 분석] MountLocker 랜섬웨어]

 

AstroLocker 랜섬웨어는 기존의 EXE 파일로 만들어진 MountLocker 랜섬웨어와 달리 DLL 파일로 유포되고, 정상 프로그램에 로드되어 실행한다. 또한, 현재 실행중인 프로세스 및 서비스를 종료하는 기능이 추가되었다.

그리고 암호화된 파일 정보 및 감염된 PC 정보가 담긴 로그 파일을 생성하여 공격자의 C&C 서버로 전송하고, [ 1]의 명령어를 통해 암호화 동작을 지정할 수 있는 기능이 추가되었다.

 

[표 1] 명령어에 따른 동작 정보

 

[그림 2] 생성된 로그 파일

 

AstroLocker는 랜섬웨어 제작자가 유포자(공격자)에게 랜섬웨어를 판매하여 유포자(공격자)가 해당 랜섬웨어를 이용해 공격하는 형태의서비스형 랜섬웨어(RaaS)”로 운영을 시작했으며 다양한 산업군을 공격 대상으로 활발하게 유포되고 있다.

Astro Team 데이터 유출 사이트를 확인한 결과 2021 2월부터 탈취한 데이터를 게시한 것으로 확인되었다. AstroLocker 랜섬웨어의 공격을 받은 것으로 추정되는 기업은 호텔, 자동차 사업장, 의료 산업, 가구 판매점, 식당 등 다양한 산업군들이 존재했다.

 

[그림 3] 데이터가 유출된 기업 목록

 

추가적으로 2021 4 14일경, Astro Team 데이터 유출 사이트에 국내 대기업의 미국 사업장에서 탈취한 것으로 추정되는 데이터가 발견되었다. 유출된 데이터에는 기업 자료 및 고객의 전화번호, 주소, 주민 번호 등 추가적인 범죄에 이용될 만한 개인 정보가 존재했다. AstroLocker 랜섬웨어의 공격으로 인해 데이터가 유출 된 것으로 추정되지만 현재까지 기업의 공식 발표 및 관련 기사는 없다.

 

[그림 4] 국내 대기업 데이터 유출 게시글

 

MountLocker 랜섬웨어는 AstroLocker 랜섬웨어로 변환됐다는 많은 증거를 보이고 있으며 최근 활발히 유포되고 있다. AstroLocker는 본인들을 Astro Team이라고 칭하며서비스형 랜섬웨어(RaaS)”로 운영하기 시작했고, 랜섬머니를 지불할 만한 다양한 산업군을 물색하는 등의 공격적인 변화를 추진하고 있다.

해당 랜섬웨어는 특정 기업을 대상으로 공격하여 고객들의 정보를 탈취하므로 사용자는 보안 솔루션을 설치하고, 기업 임직원의 보안의식을 높여 사전에 대응할 수 있도록 할 것을 권장한다.

 

 

 

댓글

댓글쓰기