2023년 상반기 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

2023년 상반기(1월 1일 ~ 6월 30일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 상반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 상반기에는 월 평균 13건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 2월과 4월에 가장 많이 발견됐다.

 

[그림 1] 2023년 상반기 월별 신변종 랜섬웨어 비교

 

2023년 상반기(1월 1일 ~ 6월 30일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다.

 

[그림 2] 2023년 상반기 월별 랜섬머니 비교

 

2023년 상반기(1월 1일 ~ 6월 30일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 25%로 가장 많았고, 랜섬머니를 요구하지 않는 경우와 모네로(XMR)를 요구하는 경우는 각각 5%와 3% 비율을 차지했다. 그 외에도 디스코드, 텔레그렘 및 QR 코드 등의 방법을 사용해 랜섬머니를 요구했다.

 

[그림 3] 2023년 상반기 랜섬머니 통계

 

2023년 상반기(1월 1일 ~ 6월 30일) 동안의 신•변종 랜섬웨어는 아래 표와 같고, 신종은 붉은색, 변종은 푸른색으로 표시했다. 이외에 표시된 색상은 상반기 내 신•변종이 3건 이상인 랜섬웨어이다.

 

[그림 4] 2023년 상반기 월별 신변종 랜섬웨어

 

 

2. 신/변종 랜섬웨어

1월

Play

파일명에 “.PLAY” 확장자를 추가하고 “ReadMe.txt”라는 랜섬노트를 생성하는 “Play” 랜섬웨어의 변종이 발견됐다.

 

[그림 5] Play 랜섬웨어 랜섬노트

 

BlackHunt

파일명에 “.[랜덤 문자열].[공격자 이메일].Black” 확장자를 추가하고 [그림 6]의 랜섬노트를 생성하는 “BlackHunt” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

-  BlackHunt 랜섬웨어 랜섬노트 : #BlackHunt_ReadMe.txt

 

[그림 6] BlackHunt 랜섬웨어 랜섬노트 - TXT

 

-  BlackHunt 랜섬웨어 랜섬노트 : #BlackHunt_ReadMe.hta

 

[그림 7] BlackHunt 랜섬웨어 랜섬노트 - HTA

 

 Obz

파일명에 “.obz” 확장자를 추가하고 “readme.txt”라는 랜섬노트를 생성하는 “Obz” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 원본 샘플을 자가 삭제한다.

 

[그림 8] Obz 랜섬웨어 랜섬노트

 

AvosLocker

파일명에 “.avos2” 확장자를 추가하고 “GET_YOUR_FILES_BACK.txt”라는 랜섬노트를 생성하는 “AvosLocker” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 [그림 10]으로 바탕화면을 변경한다.

 

-   AvosLocker 랜섬웨어 랜섬노트 : GET_YOUR_FILES_BACK.txt

 

[그림 9] AvosLocker 랜섬웨어 랜섬노트

 

-  AvosLocker 랜섬웨어 바탕화면 변경

 

[그림 10] AvosLocker 랜섬웨어 바탕화면 변경

 

 2월

Paradise

파일명에 “.[id-사용자 아이디].[공격자 이메일]” 확장자를 추가하고 “#DECRYPT MY FILES#.html”라는 랜섬노트를 생성하는 “Paradise” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 11] Paradise 랜섬웨어 랜섬노트

 

BlackBasta

파일명에 “.a3y00dywf” 확장자를 추가하고 “instructions_read_me.txt”라는 랜섬노트를 생성하는 “BlackBasta” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 암호화한 파일의 아이콘을 변경한다.

 

[그림 12] BlackBasta 랜섬웨어 랜섬노트

 

Zeppelin

파일명에 “.ID.[사용자 ID]” 확장자를 추가하고 “ENCRYPTED.TXT”라는 랜섬노트를 생성하는 “Zeppelin” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 원본 샘플은 자가 삭제한다.

 

[그림 13] Zeppelin 랜섬웨어 랜섬노트

 

Amnesia

파일명에 “.[랜덤 문자열].APT14CHIR” 확장자를 추가하고 “PLEASE READ.txt”라는 랜섬노트를 생성하는 “Amnesia” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 원본 샘플의 자가 삭제와 랜섬노트를 자동 실행하도록 등록한다.

 

[그림 14] Amnesia 랜섬웨어 랜섬노트

 

3월

KEEPCALM

파일명에 “-+Id(사용자 ID) mail(공격자 이메일).KEEPCALM” 확장자를 추가하고 “ReadMe.txt”라는 랜섬노트를 생성하는 “KEEPCALM” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자를 사용하지 못하게 설정한다.

 

[그림 15] KEEPCALM 랜섬웨어 랜섬노트

 

MedusaLocker

파일명에 “.skynetwork8” 확장자를 추가하고 “How_to_back_files.html”라는 랜섬노트를 생성하는 “MedusaLocker” 랜섬웨어의 변종이 발견됐다.

 

[그림 16] MedusaLocker 랜섬웨어 랜섬노트

 

Snatch

파일명에 “.kmufesd” 확장자를 추가하고 “HOW TO RESTORE YOUR FILES.TXT”라는 랜섬노트를 생성하는 “Snatch” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 17] Snatch 랜섬웨어 랜섬노트

 

DarkPower

파일명에 “.dark_power” 확장자를 추가하고 “readme.pdf”라는 랜섬노트를 생성하는 “DarkPower” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스와 프로세스를 종료한다.

 

[그림 18] DarkPower 랜섬웨어 랜섬노트

 

Abyss

파일명에 “.rn” 확장자를 추가하고 바탕화면을 변경해 랜섬노트를 보여주는 “Abyss” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 파일을 자가 복제하고 [그림 19]와 같이 바탕화면을 변경한다.

 

[그림 19] Abyss 랜섬웨어 랜섬노트

 

4월

MoneyMessage

파일을 암호화한 후 확장자를 변경하지 않고 “money_message.log”라는 랜섬노트를 생성하는 “MoneyMessage” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 20] MoneyMessage 랜섬웨어 랜섬노트

 

Blaze

파일명에 “.blaze” 확장자를 추가하고 “How to Decrypt.txt”라는 랜섬노트를 생성하는 “Blaze” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 21] Blaze 랜섬웨어 랜섬노트

 

CrossLock

파일명에 “.crlk” 확장자를 추가하고 “---CrossLock_readme_To_Decrypt---.txt”라는 랜섬노트를 생성하는 “CrossLock” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 22] CrossLock 랜섬웨어 랜섬노트

 

BlackBit

파일명에 “.[공격자 이메일][사용자 ID][파일명].BlackBit” 확장자를 추가하고 [그림 23]의 랜섬노트를 생성하는 “BlackBit” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 방화벽 사용을 해제한다. 그다음 작업 스케줄러를 등록해 지속성을 확보하고 [그림 24]와 같이 바탕화면 배경을 변경한다.

 

-  BlackBit 랜섬웨어 랜섬노트 : info.hta

 

[그림 23] BlackBit 랜섬웨어 랜섬노트

 

-  BlackBit 랜섬웨어 바탕화면 변경

 

[그림 24] BlackBit 랜섬웨어 바탕화면 변경

 

Uniza

파일을 암호화한 후 확장자를 변경하지 않고 [그림 25]와 같이 콘솔 창에서 랜섬노트를 보여주는 “Uniza” 랜섬웨어가 발견됐다.

 

[그림 25] Uniza 랜섬웨어 랜섬노트

 

5월

BigHead               

파일명을 “[랜덤 문자열]”로 변경하고 “README_[랜덤 7자리 숫자].txt”라는 랜섬노트를 생성하는 “BigHead” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 자동 실행을 등록해 지속성을 확보한다.

 

[그림 26] BigHead 랜섬웨어 랜섬노트

 

RansomBlox

파일명에 “.ROBLOX” 확장자를 추가하고 [그림 27]의 랜섬노트를 생성하는 “RansomBlox” 랜섬웨어가 발견됐다.

 

[그림 27] RansomBlox 랜섬웨어 랜섬노트

 

Babuk

파일명에 “.GAGUP” 확장자를 추가하고 “How To Restore Your Files.txt”라는 랜섬노트를 생성하는 “Babuk” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 28] Babuk 랜섬웨어 랜섬노트

 

Natali

파일명에 “.crYpt ” 확장자를 추가하고 “readme_for_unlock.txt”라는 랜섬노트를 생성하는 “Natali” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 자동 실행을 등록해 지속성을 확보한다.

 

[그림 29] Natali 랜섬웨어 랜섬노트

 

Alphaware

파일명에 “.Alphaware” 확장자를 추가하고 “readme.txt”라는 랜섬노트를 생성하는 “Alphaware” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 파일을 자가 복제한다.

 

[그림 30] Alphaware 랜섬웨어 랜섬노트

 

DarkRace

파일명에 “.1352FF327” 확장자를 추가하고 “Readme.1352FF327.txt”라는 랜섬노트를 생성하는 “DarkRace” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한 후 특정 프로세스의 실행을 차단하며, 암호화를 완료하면 윈도우를 재부팅한다.

 

[그림 31] DarkRace 랜섬웨어 랜섬노트

 

6월

Dharma

파일명에 “.mono” 확장자를 추가하고 [그림 32]의 랜섬노트를 생성하는 “Dharma” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 32] Dharma 랜섬웨어 랜섬노트

 

Hardbit

파일명에 “.[랜덤 10자리 문자열].[사용자 ID].[공격자 메일].hardbit3” 확장자를 추가하고 [그림 33]의 랜섬노트를 생성하는 “Hardbit” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행을 차단한 후, 바탕화면과 드라이브 이름을 변경한다.

 

-  HardBit 랜섬웨어 랜섬노트 : How To Restore Your Files.txt

 

[그림 33] Hardbit 랜섬웨어 랜섬노트 - TXT

 

-  HardBit 랜섬웨어 랜섬노트 : Help_me_for_Decrypt.hta

 

[그림 34] Hardbit 랜섬웨어 랜섬노트 - HTA

 

-  HardBit 랜섬웨어 바탕화면 배경

 

[그림 35] Hardbit 랜섬웨어 바탕화면 배경 변경

 

Udaigen

파일명에 “.jcrypt” 확장자를 추가하고 [그림 36]의 랜섬노트를 생성하는 “Udaigen” 랜섬웨어가 발견됐다.

 

[그림 36] Udaigen 랜섬웨어 랜섬노트

 

Resq100

파일명에 “.resq100” 확장자를 추가하고 “resq_Recovery.txt”라는 랜섬노트를 생성하는 “Resq100” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 작업 스케줄러를 등록해 지속성을 확보한다.

 

[그림 37] Resq100 랜섬웨어 랜섬노트