분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] - 10월 1주차

잉카인터넷 대응팀은 2021101일부터 2021107일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Spook" 2, 변종 랜섬웨어는 "Ouroboros" 2건이 발견됐다.

 

금주 랜섬웨어 관련 이슈로는 "AtomSilo" 랜섬웨어가 서버 취약점으로 페이로드를 배포하기 시작했으며 확인되지 않은 랜섬웨어 그룹이 Python 스크립트로 가상 머신을 암호화하기 시작했다.

 

[표 1] 2021년 10월 1주차 신•변종 랜섬웨어 정리

 

2021101

Ouroboros 랜섬웨어

파일명에 "[공격자 메일][사용자 ID][파일명].HYDRA"로 변경하고 "#FILESENCRYPTED.txt"라는 랜섬노트를 생성하는 "Ouroboros" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.

 

[그림 1] Ouroboros 랜섬웨어 랜섬노트

 

202110 2

Spook 랜섬웨어

파일명에 ".PUUEQS8AEj" 확장자를 추가하고 "RESTORE_FILES_INFO.hta"라는 랜섬노트를 생성하는 "Spook" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 프로세스를 제외한 다수의 프로세스를 종료한다.

 

[그림 2]Spook 랜섬웨어 랜섬노트

 

202110 4

AtomSilo 랜섬웨어

파일명에 ".[공격자 메일].eking" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "AtomSilo" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.

 

202110 6

Dharma 랜섬웨어

파일명에 ".tisc" 확장자를 추가하고 랜섬노트를 생성하지 않는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 윈도우 디펜더를 무력화한다.

 

202110 6

Alkhal 랜섬웨어

확장자를 변경하지 않고 "Recovery.bmp"라는 랜섬노트를 생성하는 "Alkhal" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 3] Alkhal 랜섬웨어 랜섬노트

 

AtomSilo 랜섬웨어, 서버 취약점을 통해 페이로드 배포

최근 등장한 "AtomSilo" 랜섬웨어가 Confluence 서버 및 데이터 센터의 취약점을 악용하여 랜섬웨어를 배포하기 시작했다. 해당 랜섬웨어는 Confluence 서버의 취약점을 통해 침투한 뒤 DLL 사이드 로딩을 사용하여 백도어를 실행하고, 감염된 PC를 암호화한다.

 

Python 스크립트를 이용한 가상 머신 암호화

알려지지 않은 랜섬웨어 그룹이 Python 스크립트를 사용하여 VMware ESXi 서버에서 호스팅되는 가상 머신을 암호화하는 것으로 밝혀졌다. Python 스크립트는 초기 침해 후 3시간 이내에 취약한 ESXi 하이퍼바이저에서 실행되는 피해자의 가상 머신을 암호화하는데 사용한다.

 

202110 7

MME 랜섬웨어

파일명에 ".MME" 확장자를 추가하고 "READ_ME.txt"라는 랜섬노트를 생성하는 "MME" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.

 

[그림 4] MME 랜섬웨어 랜섬노트

 

 

 

댓글

댓글쓰기