분석 정보/랜섬웨어 분석 정보

지속적으로 진화하는 Chaos 랜섬웨어 빌더 등장

알 수 없는 사용자 2021. 8. 18. 17:19

지난 2021 6월경, 랜섬웨어를 만드는 빌더로 위장한 악성 빌더가 등장했다. 해당 빌더의 제작자는 “.NET”으로 제작된 류크(Ryuk) 랜섬웨어를 만들 수 있다고 주장했으며 확인 결과, 류크(Ryuk) 랜섬웨어와의 유사점은 발견되지 않았다.

 

아래의 링크는 자사 블로그에 게시된 류크(Ryuk) 랜섬웨어를 만들 수 있다고 주장하는 빌더에 대한 보고서이다.
2021.06.18 - [분석 정보/랜섬웨어 분석 정보] - 새로운 랜섬웨어 빌더 발견

 

최근 해당 악성 빌더가 "Chaos"라는 이름으로 계속 버전을 패치하여 출시하고 있다. 빌더 내부에 설명된 정보에 따르면 비트코인 또는 모네로 후원에 의해 제작되고 있고, 지속적으로 업데이트된 버전을 출시할 것이라고 한다.

 

현재까지 빌더는 '버전 4'까지 출시 되었으며 각 버전 별로 기능이 추가된 모습을 보인다. 분석 결과 '버전 1' '버전 2'는 파일을 암호화 하기 보다는 파괴하는 와이퍼 악성코드의 형태를 하고 있으며 '버전 3' '버전 4'에서는 본격적으로 암호화 기능이 추가되어 와이퍼 악성코드와 랜섬웨어의 모습을 동시에 보이고 있다.

 

[그림 1] 버전1, 버전2 빌더 설명(좌) 버전3, 버전4 빌더 설명(우)

 

전체적으로 Chaos 랜섬웨어 빌더는 버전이 패치될 때마다 추가 기능이 더해져 출시되고 있다. 또한, 모든 버전의 "Chaos" 랜섬웨어 랜섬노트에는 암호화된 파일을 빌미로 약 1,500달러에 달하는 랜섬머니를 요구하는 문구가 작성돼 있다.

 

[표 1] Chaos 랜섬웨어 빌더 버전 별 기능

 

1. Chaos 랜섬웨어 빌더 v1, v2 (와이퍼 악성코드)

"Chaos" 랜섬웨어 빌더의 버전 1’버전 2’는 감염된 PC의 파일을 암호화하지 않고, 파괴하는 와이퍼 악성코드의 형태를 가진다. 해당 와이퍼 악성코드에 감염된 사용자는 랜섬머니를 지불해도 파일을 복원할 수 없다.

 

기본이 되는 '버전 1'은 네트워크 폴더 및 USB에 다른 PC를 감염시킬 수 있는 웜 기능이 있으며 변경되는 파일의 확장자, 실행되는 프로세스 이름, 드랍되는 웜 파일명, 아이콘 이미지, 지연 시간을 사용자가 직접 지정할 수 있다. 또한, "%STARTUP%" 경로 및 레지스트리에 랜섬웨어 파일을 추가하여 감염된 PC에 지속성을 유지한다.

 

[그림 2] Chaos 랜섬웨어 빌더 v1

 

'버전 2'에서는 본격적으로 "Chaos"라는 명칭을 사용하기 시작했으며 드랍되는 랜섬노트 파일명 지정 기능과 "Advanced Options" 버튼이 추가되었다. "Advanced Options" 버튼 내부에는 관리자 권한을 획득할 수 있는 기능과 백업 카탈로그 및 볼륨 섀도우 복사본을 삭제하고, 윈도우 복원 모드를 비활성화하여 사용자가 시스템을 복원할 수 없게 만드는 기능이 추가됐다.

 

[그림 3] Chaos 랜섬웨어 빌더 v2

 

2. Chaos 랜섬웨어 빌더 v3, v4 (와이퍼 악성코드 / 랜섬웨어)

"Chaos" 랜섬웨어 빌더의 '버전 3'과 '버전 4'는 본격적으로 감염된 PC의 파일을 암호화하는 기능이 추가되었다. 하지만 파일을 파괴하는 기능을 선택할 수 있어 와이퍼 악성코드와 랜섬웨어의 형태를 모두 갖추고 있다. 또한, 암호화 기능을 적용하여 제작된 랜섬웨어는 복호화 툴도 함께 생성할 수 있다.

 

'버전 3'는 "Advanced Options" 내부에 파일을 파괴할 것인지 암호화할 것인지 선택할 수 있는 옵션이 추가됐으며 1MB 미만의 파일만을 암호화 할 수 있다.

 

[그림 4] Chaos 랜섬웨어 빌더 v3

 

'버전 4'는 이전 버전보다 증가한 2MB 미만의 파일을 암호화할 수 있으며 암호화 할 확장자를 사용자가 직접 설정할 수 있다. 또한, 감염된 PC의 배경 화면 이미지를 선택하여 변경할 수 있는 기능이 추가되었다.

 

[그림 5] Chaos 랜섬웨어 빌더 v4

 

[그림 6] Chaos 랜섬웨어 v4 암호화 확장자 지정 기능

 

20216월에 처음 등장한 "Chaos" 랜섬웨어는 누구나 빌더를 이용해 손쉽게 제작할 수 있다는 점에서 치명적이고, 제작자의 지속적인 패치를 암시하는 설명에 따라 아직 완성되지 않은 랜섬웨어 빌더인 것으로 추정된다. 또한, 해당 빌더를 통해 제작된 파괴형 와이퍼 악성코드는 복원이 불가능하기에 사용자는 보안 제품이나 OS를 항상 최신 버전으로 유지하여 사전에 감염을 예방할 것을 권장한다.