분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 7월 4주차

알 수 없는 사용자 2021. 7. 30. 16:16

잉카인터넷 대응팀은 2021723일부터 2021729일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 Keversen 2, 변종 랜섬웨어는 LegionLocker 2건이 발견됐다.

금주 랜섬웨어 관련 이슈로는 Egregor 랜섬웨어 대화 녹취록이 공개됐으며 Kaseya 측에서 REvil 랜섬웨어 디크립터를 획득했다고 알렸다. 또한, LockBit 랜섬웨어 v2.0 버전에서 기능이 추가됐고, BlackMatter 랜섬웨어를 사용하는 새로운 조직이 등장했다.

 

[표 1] 2021년 7월 4주차 신•변종 랜섬웨어 정리

 

2021723

Keversen 랜섬웨어

파일명에 .keversen 확장자를 추가하고 Recovery_Instructions.mht라는 랜섬노트를 생성하는 Keversen 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 1] Keversen 랜섬웨어 랜섬노트

 

Egregor 랜섬웨어 대화 녹취록 공개

외신에 따르면 Egregor 측과 피해자가 상담하면서 나온 대화의 녹취록이 공개됐다. 이들은 피해자들과의 협상을 위한 채팅 방을 따로 만들어 운영했으며, 최근에는 꽤나 딱딱한 태도를 보였다고 한다. 이에 대해 IBM 측은 Egregor 운영자들이 피해자들에 대응에 대해 매뉴얼을 구축한 것 같다고 언급했다.

 

Kaseya - REvil 랜섬웨어 디크립터 획득

Kaseya 측이 제 3자로부터 REvil 랜섬웨어 디크립터를 획득했다고 알렸다. 해당 디크립터는 Emsisoft와 협력해 유효성 검사를 완료했으며, 현재 영향을 받은 고객들에게 배포하고 있다.

2021.07.26 - Kaseya - REvil 랜섬웨어 디크립터 획득

 

20217 25

FancyLocker 랜섬웨어

파일명에 .FancyLeaks 확장자를 추가하고 [그림 2]의 랜섬노트를 생성하는 FancyLocker 랜섬웨어가 발견됐다.

 

[그림 2] FancyLocker 랜섬웨어 랜섬노트

 

20217 26

LegionLocker 랜섬웨어

파일명에 .[52자리 문자열] 확장자를 추가하고 LegionReadMe.txt라는 랜섬노트를 생성하는 LegionLocker 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 작업 관리자를 무력화한다.

 

[그림 3] LegionLocker 랜섬웨어 랜섬노트

 

20217 27

Ragnarok 랜섬웨어

파일명에 .[랜덤 문자열].hela 확장자를 추가하고 !!Read_Me.[랜덤 문자열].html라는 랜섬노트를 생성하는 “Ragnarok 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고, 특정 프로세스의 실행을 차단한다.

 

[그림 4] Ragnarok 랜섬웨어 랜섬노트

 

20217 28

LockBit 랜섬웨어 2.0 추가 기능

최근 LockBit 랜섬웨어 v2.0이 공개됐으며, 해당 랜섬웨어에 Active Directory 정책을 사용해 랜섬웨어를 배포하는 기능과 랜섬노트를 출력하는 기능이 추가됐다.

2021.07.30 - LockBit 랜섬웨어 2.0 추가 기능

 

20217 29

Jeremy 랜섬웨어

파일을 암호화하지 않고 How_To_Recover_My_Files.txt라는 랜섬노트를 생성하는 Jeremy 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 방화벽 사용을 해제한다. 또한, 특정 프로세스와 서비스의 실행을 종료 및 차단한다.

 

[그림 5] Jeremy 랜섬웨어 랜섬노트

 

새로운 랜섬웨어 그룹 BlackMatter

최근 BlackMatter 랜섬웨어를 사용하는 조직이 발견됐다. 이들은 직접 데이터 유출 사이트를 운영하고 있으며, DarkSide, REvil LockBit 랜섬웨어의 기능을 통합해 만들었다고 주장하고 있다.

2021.07.30 - 새로운 랜섬웨어 그룹 BlackMatter