분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 7월 1주차

알 수 없는 사용자 2021. 7. 9. 17:19

잉카인터넷 대응팀은 2021702일부터 2021708일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Docuspx" 5, 변종 랜섬웨어는 "Sodinokibi" 1건이 발견됐다.

 

이중, "Ryuk" 랜섬웨어를 만들 수 있다고 주장하던 빌더가 Chaos로 이름을 변경하여 유포되고 있다. 또한, "Sodinokibi" 랜섬웨어 그룹이 Kaseya VSA 서버를 침해하는 제로데이 취약점을 악용해 파일을 암호화했으며 이를 빌미로 고액의 랜섬머니를 요구하고 있다.

 

[표 1] 2021년 7월 1주차 신•변종 랜섬웨어 정리

 

20217 2

Sodinokibi 랜섬웨어

"Sodinokibi" 랜섬웨어 그룹이 Keseya VSA 서버를 침해할 수 있는 제로데이 취약점을 악용해 파일을 암호화하기 시작했다. 이에 따라 CISA는 이번 공격에 대한 정보를 파악하고 있으며 조치를 취하는 중 이라고 공식적으로 발표했다. 또한, Kaseya 측은 사용중인 Kaseya VSA 서버를 종료하도록 권고했다.

 

202173

Docuspx 랜섬웨어

파일명에 ".[Documents Files 확장자]spx" 확장자를 추가하고 랜섬노트를 생성하지 않는 "Docuspx" 랜섬웨어가 발견됐다.

 

Hive 랜섬웨어

파일명에 ".hive" 확장자를 추가하고 "HowToDecrypt.txt"라는 랜섬노트를 생성하는 "Hive" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 1] Hive 랜섬웨어 랜섬노트

 

20217 4

Sodinokibi 랜섬웨어

파일명에 ".[랜덤 문자열]" 확장자를 추가하고 "[확장자]-readme.txt"라는 랜섬노트를 생성하는 "Sodinokibi" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고, 바탕화면의 배경을 변경한다.

 

202175

WannaDie 랜섬웨어

파일을 암호화 하지않고 [그림 2]의 랜섬노트를 생성하는 "WannaDie" 랜섬웨어가 발견됐다.

 

[그림 2] WannaDie 랜섬웨어 랜섬노트

 

랜섬웨어 빌더 이름 변경 (Chaos)

제작자가 "Ryuk" 랜섬웨어를 만들 수 있다고 주장했던 빌더의 이름을 "Chaos"로 변경했다.

 

[그림 3] 랜섬웨어 빌더

 

Stop 랜섬웨어

파일명에 ".pooe" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.

 

202177

JenusLocker 랜섬웨어

파일명에 ".HACKED" 확장자를 추가하고 [그림 4]의 랜섬노트를 생성하는 "JenusLocker" 랜섬웨어가 발견됐다.

 

[그림 4] JenusLocker 랜섬웨어 랜섬노트

 

VNHack 랜섬웨어

파일명에 ".vn_os" 확장자를 추가하고 [그림 5]의 랜섬노트를 생성하는 "VNHack" 랜섬웨어가 발견됐다.

 

[그림 5] VNHack 랜섬웨어 랜섬노트