분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] - 8월 3주차

알 수 없는 사용자 2021. 8. 20. 14:38

잉카인터넷 대응팀은 2021813일부터 2021819일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Karma" 3, 변종 랜섬웨어는 "Nitro" 1건이 발견됐다.

 

금주 랜섬웨어 관련 이슈로는 "Vice Society" 랜섬웨어가 최근 이슈가 된 PrintNightmare 취약점을 악용한 공격에 합류했고, "SynAck" 랜섬웨어가 El_Cometa로 데이터 유출 사이트 이름을 변경하는 이슈가 있었다.

 

[표 1] 2021년 8월 3주차 신•변종 랜섬웨어 정리

 

20218 13

Nitro 랜섬웨어

파일명에 ".givemenitro" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "Nitro" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 랜섬머니로 디스코드 니트로 정액권을 요구하는 특징이 있다.

 

[그림 1] Nitro 랜섬웨어 랜섬노트

 

Vice Society 랜섬웨어 PrintNightmare 취약점 공격에 합류

최근 이슈가 된 PrintNightmare 취약점을 악용하여 "Vice Society" 랜섬웨어가 사용자에게 유포되고 있다. 해당 랜섬웨어는 Windows 인쇄 스풀러를 통해 사용자의 네트워크에 접근하여 파일을 암호화하는 특징이 있다.

 

SynAck 랜섬웨어 브랜드 이름 변경

"SynAck" 랜섬웨어의 운영진이 자신들이 운영하는 데이터 유출 사이트의 이름을 "El_Cometa"로 변경했다. 또한, 이전에 유포됐던 "SynAck" 랜섬웨어의 마스터 복호화 키를 공개했다.

 

20218 15

Karma 랜섬웨어

파일명에 ".KARMA" 확장자를 추가하고 "KARMA_ENCRYPTED.txt"라는 랜섬노트를 생성하는 "Karma" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다.

 

[그림 2] Karma 랜섬웨어 랜섬노트

 

20218 17

BlackMatter 랜섬웨어

파일명에 ".[랜덤 문자열]" 확장자를 추가하고 "[랜덤 문자열].README.txt"라는 랜섬노트를 생성하는 "BlackMatter" 랜섬웨어의 변종이 발견됐다.

 

Karen 랜섬웨어

파일명에 ".karen" 확장자를 추가하고 "README.txt"라는 랜섬노트를 생성하는 "Karen" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다.

 

[그림 3] Karen 랜섬웨어 랜섬노트

 

Zeznzo 랜섬웨어

파일명에 ".[공격자 메일]" 확장자를 추가하고 [그림 4]의 랜섬노트를 실행하는 "Zeznzo" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 사용자의 화면을 잠금시킨다.

 

[그림 4] Zeznzo 랜섬웨어 랜섬노트

 

2021819

Malki 랜섬웨어

파일명에 ".MALKI" 확장자를 추가하고 [그림 5]의 랜섬노트를 실행하는 "Malki" 랜섬웨어가 발견됐다.

 

[그림 5] Malki 랜섬웨어 랜섬노트