분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 9월 2주차

잉카인터넷 대응팀은 202193일부터 202199일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Leaks"3, 변종 랜섬웨어는 "WannaCrypt" 1건이 발견됐다.

 

금주 랜섬웨어 관련 이슈로는 Conti 랜섬웨어 조직의 플레이북 번역본이 공개됐고, 이들 조직이 ProxyShell 취약점을 사용해 Microsoft Exchange 서버를 침해한 정황이 발견됐다. 또한, Babuk 랜섬웨어의 소스 코드가 러시아어를 사용하는 다크웹 포럼에 공개된 이슈가 있었다.

 

[표 1] 2021년 9월 2주차 신•변종 랜섬웨어 정리

 

20219 3

Conti 랜섬웨어 플레이북 번역본 공개

최근 Conti 계열사가 유출한 플레이북 번역본이 외부에 공개됐다. 해당 번역본을 공개한 시스코 탈로스(Cisco Talos)는 이번에 유출된 정보로 각 그룹이 사용하는 방식을 파악하고 처리할 수 있는 기회가 될 것이라고 언급했다.

 

Leaks 랜섬웨어

파일명에 .LEAKS 확장자를 추가하고 LEAKS!!!DANGER.txt이라는 랜섬노트를 생성하는 Leaks 랜섬웨어가 발견됐다.

 

[그림 1] Leaks 랜섬웨어 랜섬노트


20219 5

WannaCrypt 랜섬웨어

파일명에 .aes.JANELLE 확장자를 추가하고 Readme.txt라는 랜섬노트를 생성하는 WannaCrypt 랜섬웨어의 변종이 발견됐다.

 

20219 6

Babuk 랜섬웨어 소스 코드 공개

러시아어를 사용하는 해킹 포럼에 Babuk 랜섬웨어의 전체 소스 코드가 유출됐다. 해당 글의 게시자는 암 투병 등을 이유로 코드를 공개한다고 주장했으며, 공개된 파일에는 VMware ESXi, NAS 등의 다양한 환경에 대한 암호화 프로젝트가 포함된 것으로 알려졌다.

 

Harmagedon 랜섬웨어

파일명에 .[사용자 ID].[공격자 메일].harmagedon 확장자를 추가하고 readme-warning.txt라는 랜섬노트를 생성하는 Harmagedon 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 공격자의 C&C 서버와 연결을 시도한다.

 

[그림 2] Harmagedon 랜섬웨어 랜섬노트

 

GoldenWolf42 랜섬웨어

파일명에 .GoldenWolf42 확장자를 추가하고 read_it.txt라는 랜섬노트를 생성하는 GoldenWolf42 랜섬웨어가 발견됐다. 해당 랜섬웨어는 파일을 자가 복제하고 [그림 3]과 같이 바탕화면 배경을 변경한다.

 

[그림 3] GoldenWolf42 랜섬웨어 랜섬노트

 

202197

Conti 랜섬웨어, ProxyShell 취약점을 사용해 Microsoft Exchange 서버 침해

Conti 랜섬웨어 조직이 Microsoft Exchange 서버의 ProxyShell 취약점을 사용해 기업 네트워크를 공격한 정황이 발견됐다. 해당 정황을 발견한 Sophos에 따르면 Conti 측이 ProxyShell 취약점을 사용해 네트워크를 침해한 후, 정보를 탈취하고 파일을 감염한다고 한다. 또한, 해당 취약점은 지난 5월에 패치가 됐지만 최근 관련 기술의 세부 정보가 공개된 것으로 알려졌다.

 

Recovery 랜섬웨어

파일명을 변경하지 않고 ReadMe.txt라는 랜섬노트 생성하는 Recovery 랜섬웨어가 발견됐다. 해당 랜섬웨어는 [그림 4]의 파일을 자동실행 폴더에 등록하고, 원본 샘플을 자가 삭제한다.

 

[그림 4] Recovery 랜섬웨어 랜섬노트



 

댓글

댓글쓰기