2024년 상반기 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

2024년 상반기(1월 1일 ~ 6월 30일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 상반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 상반기에는 월 평균 18건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 4월과 1월에 가장 많이 발견됐다.

 

[그림 1] 2024년 상반기 월별 신•변종 랜섬웨어 비교

 

2024년 상반기(1월 1일 ~ 6월 30일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다.

 

[그림 2] 2024년 상반기 월별 랜섬머니 비교

 

2024년 상반기(1월 1일 ~ 6월 30일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 34%로 가장 많았고, 모네로(XMR)를 요구하거나 랜섬머니를 요구하지 않는 경우는 각각 2%와 1% 비율을 차지했다. 그 외에도 이메일, 홈페이지 및 텔레그램 등의 방법을 사용해 랜섬머니를 요구했다.

 

[그림 3] 2024년 상반기 랜섬머니 통계

 

2024년 상반기(1월 1일 ~ 6월 30일) 동안의 신•변종 랜섬웨어는 아래 표와 같고, 신종은 붉은색, 변종은 푸른색으로 표시했다. 이외에 표시된 색상은 상반기 내 신•변종이 4건 이상인 랜섬웨어이다.

 

[그림 4] 2024년 상반기 월별 신•변종 랜섬웨어

 

 

2.      신/변종 랜섬웨어

1월

Albabat

파일명에 ".abbt" 확장자를 추가하고 "Albabat_README.html"과 "README.html"라는 랜섬노트를 생성하는 "Albabat" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자 실행을 차단하고 바탕화면을 변경한다.

 

[그림 5] Albabat 랜섬웨어 랜섬노트

 

3000USDAA

파일명에 “.[5자리 랜덤 문자열]” 확장자를 추가하고 “----Read-Me-----.txt”라는 랜섬노트 외에도 VBS 파일로 랜섬노트를 생성하는 “3000USDAA” 랜섬웨어 변종이 발견됐다. 해당 랜섬웨어는 원본 샘플을 자가 삭제하고 시스템 복원을 무력화한다.

 

[그림 6] 3000USDAA 랜섬웨어 랜섬노트

 

Dharma

파일명에 ".id-사용자 ID.[공격자 이메일].avan" 확장자를 추가하고 [그림 7]과 [그림 8]의 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 자동 실행을 등록해 지속성을 확보하고 시스템 복원을 무력화한다.

 

-  Dharma 랜섬웨어 랜섬노트 : info.txt

 

[그림 7] Dharma 랜섬웨어 랜섬노트 - TXT

 

-  Dharma 랜섬웨어 랜섬노트 : info.hta

 

[그림 8] Dharma 랜섬웨어 랜섬노트 - HTA

 

Lockxx

파일명에 ".lockxx" 확장자를 추가하고 "lockxx.recovery_data.hta"라는 랜섬노트를 생성하는 "Lockxx" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 사용자 계정 컨트롤을 무력화한다.

 

[그림 9] Lockxx 랜섬웨어 랜섬노트

 

Dharma

파일명에 ".id[사용자 ID].[공격자 이메일].ebaka" 확장자를 추가하고 [그림 10]과 [그림 11]의 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 자동 실행을 등록해 지속성을 확보하고 방화벽 사용을 해제한다.

 

-   Dharma 랜섬웨어 랜섬노트 : info.txt

 

[그림 10] Dharma 랜섬웨어 랜섬노트 – TXT

 

-   Dharma 랜섬웨어 랜섬노트 : info.hta

 

[그림 11] Dharma 랜섬웨어 랜섬노트 - HTA

 

2월

LAPSUS$

파일명에 ".EzByZZART3XX" 확장자를 추가하고 "Open.txt"라는 랜섬노트를 생성하는 "LAPSUS$" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 디스크를 생성한다.

 

[그림 12] LAPSUS$ 랜섬웨어 랜섬노트

 

GoodMorning

파일명에 ".goodmorning" 확장자를 추가하고 "how_to_back_files.html"라는 랜섬노트를 생성하는 "GoodMorning" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 자동 실행을 등록해 지속성을 확보한다.

 

[그림 13] GoodMorning 랜섬웨어 랜섬노트

 

SWIFT

파일명에 ".[공격자 이메일].SWIFT" 확장자를 추가하고 "#SWIFT-Help.txt"라는 랜섬노트를 생성하는 "SWIFT" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 자동 실행을 등록해 지속성을 확보한다.

 

[그림 14] SWIFT 랜섬웨어 랜섬노트

 

XznShirkiCry

파일명에 ".locked[공격자 이메일]id사용자ID" 확장자를 추가하고 "read_me.txt"라는 랜섬노트를 생성하는 "XznShirkiCry" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 시스템 복원을 무력화한다.

 

[그림 15] XznShirkiCry 랜섬웨어 랜섬노트

 

3월

MedusaLocker

파일명에 ".genesis15" 확장자를 추가하고 "HOW_TO_BACK_FILES.html"라는 랜섬노트를 생성하는 "MedusaLocker" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 사용자 계정 컨트롤과 시스템 복원을 무력화한다.

 

[그림 16] MedusaLocker 랜섬웨어 랜섬노트

 

Payuransom

파일명에 ".payuransom" 확장자를 추가하고 "ReadMeForDecrypt.txt"라는 랜섬노트를 생성하는 "Payuransom" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 자동 실행을 등록해 지속성을 확보한다.

 

[그림 17] Payuransom 랜섬웨어 랜섬노트

 

cursoDFIR

파일명에 ".cursoDFIR" 확장자를 추가하고 "meleaicara.txt"라는 랜섬노트를 생성하는 "cursoDFIR" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 시스템 복원을 무력화한다.

 

[그림 18] cursoDFIR 랜섬웨어 랜섬노트

 

Dharma

파일명에 ".id[사용자 ID].[공격자 이메일].ELITTE87" 확장자를 추가하고 [그림 19]과 [그림 20]의 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 방화벽 사용을 해제하고 시스템 복원을 무력화 한다.

 

-  Dharma 랜섬웨어 랜섬노트 : info.txt

 

[그림 19] Dharma 랜섬웨어 랜섬노트 – TXT

 

-  Dharma 랜섬웨어 랜섬노트 : info.hta

 

[그림 20] Dharma 랜섬웨어 랜섬노트 - HTA

 

4월

Chaos

파일명에 ".4자리 랜덤한 문자열" 확장자를 추가하고 "LEIA-ME.txt"라는 랜섬노트를 생성하는 "Chaos" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 원본 샘플을 자가 삭제하고 시스템 복원을 무력화 한다.

 

[그림 21] Chaos 랜섬웨어 랜섬노트

 

CrocodileSmile

파일명에 ".CrocodileSmile" 확장자를 추가하고 "READ_SOLUTION.txt"라는 랜섬노트를 생성하는 "CrocodileSmile" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자 실행을 차단하고 시스템 복원을 무력화한다.

 

[그림 22] CrocodileSmile 랜섬웨어 랜섬노트

 

LethalLock

파일명에 ".LethalLock" 확장자를 추가하고 "SOLUTION_NOTE.txt"라는 랜섬노트를 생성하는 "LethalLock" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 원본 샘플을 자가 삭제한다.

 

[그림 23] LethalLock 랜섬웨어 랜섬노트

 

Duckcryptor

파일명에 ".[공격자].duckryptor" 확장자를 추가하고 [그림 24]과 [그림 25]의 랜섬노트를 생성하는 "Duckcryptor" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 스케줄러를 등록해 지속성을 확보하고 시스템 복원을 무력화한다.

 

-  Duckcryptor 랜섬웨어 랜섬노트 : Duckryption_README.txt

 

[그림 24] Duckcryptor 랜섬웨어 랜섬노트 - TXT

 

-  Duckcryptor 랜섬웨어 랜섬노트 : Duckryption_info.hta

 

[그림 25] Duckcryptor 랜섬웨어 랜섬노트 - HTA

 

5월

Proton

파일명에 ".[공격자 이메일].Ripa" 확장자를 추가하고 "#Read-for-recovery.txt"라는 랜섬노트를 생성하는 "Proton" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 휴지통을 비운다.

 

[그림 26] Proton 랜섬웨어 랜섬노트

 

Xam

파일명에 ".Xam" 확장자를 추가하고 "unlock.txt"라는 랜섬노트를 생성하는 "Xam" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 자동 실행을 등록해 지속성을 확보하고 시스템 복원을 무력화한다.

 

[그림 27] Xam 랜섬웨어 랜섬노트

 

Capibara

파일명에 ".capibara" 확장자를 추가하고 "READ_ME_USER.txt"라는 랜섬노트를 생성하는 "Capibara" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 원본 샘플을 자가 삭제한다.

 

[그림 28] Capibara 랜섬웨어 랜섬노트

 

EDHST

파일명에 ".EDHST" 확장자를 추가하고 "HOW TO RECOVER YOUR FILES.txt"라는 랜섬노트를 생성하는 "EDHST" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 파일을 암호화하고 시스템 복원을 무력화한다.

 

[그림 29] EDHST 랜섬웨어 랜섬노트

 

Xorist

파일명에 ".ZoN" 확장자를 추가하고 "HOW TO DECRYPT FILES.txt"라는 랜섬노트를 생성하는 "Xorist" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 아이콘을 변경하고 자동 실행을 등록해 지속성을 확보한다.

 

[그림 30] Xorist 랜섬웨어 랜섬노트

 

6월

Chaddad

파일명에 ".chaddad" 확장자를 추가하고 "RESTORE_FILES_INFO.txt"라는 랜섬노트를 생성하는 "Chaddad" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스를 종료하고 윈도우를 재부팅한다.

 

[그림 31] Chaddad 랜섬웨어 랜섬노트

 

MedusaLocker

파일명에 ".run10" 확장자를 추가하고 "How_to_back_files.html"라는 랜섬노트를 생성하는 "MedusaLocker" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 휴지통을 비우고 디스크를 생성한다.

 

[그림 32] MedusaLocker 랜섬웨어 랜섬노트

 

Rapax

파일명에 ".rapax" 확장자를 추가하고 "instruction.txt"라는 랜섬노트를 생성하는 "Rapax" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 바탕화면을 변경한다.

 

[그림 33] Rapax 랜섬웨어 랜섬노트

 

Chaos

파일명에 ".encrypt" 확장자를 추가하고 "read_mt.txt"라는 랜섬노트를 생성하는 "Chaos" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 자동 실행을 등록해 지속성을 확보한다.

 

[그림 34] Chaos 랜섬웨어 랜섬노트