[주간 랜섬웨어 동향] – 11월 3주차

잉카인터넷 대응팀은 2021년 11월 12일부터 2021년 11월 18일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "BloodFox"외 2건, 변종 랜섬웨어는 "Lorenz"외 2건이 발견됐다.

 

금주 랜섬웨어 관련 이슈로는 "Magniber" 랜섬웨어 측이 인터넷 익스플로러 등에서 발견된 취약점을 악용한 정황이 발견된 이슈가 있었다.

 

[표 1] 2021년 11월 3주차 신&변종 랜섬웨어 정리

 

 

2021년 11월 12일

Enc 랜섬웨어

파일명에 ".encoded01" 확장자를 추가하고 "BackFiles-encoded01.txt"라는 랜섬노트를 생성하는 "Enc" 랜섬웨어가 발견됐다.

 

[그림 1] Enc 랜섬웨어 랜섬노트

 

BloodFox 랜섬웨어

확장자를 변경하지 않고 [그림 2]의 랜섬노트를 생성하는 "BloodFox" 랜섬웨어가 발견됐다.

 

[그림 2] BloodFox 랜섬웨어 랜섬노트

 

Magniber 랜섬웨어 활동 발견

"Magniber" 랜섬웨어 조직이 Internet Explorer 취약점인 CVE-2021-26411과 Microsoft MSHTML 원격 코드 실행 취약점인 CVE-2021-40444를 사용해 사용자 PC를 감염한 정황이 발견됐다. 외신은 이들 조직이 사용한 취약점의 접근 난이도가 낮다고 추정했으며, 주요 공격 대상이 국내에서 아시아 기업으로 확대됐다고 언급했다.

 

2021년 11월 14일

Infinitylock 랜섬웨어

파일명에 ".[ID]" 확장자를 추가하고 랜섬노트를 생성하지 않는 "Infinitylock" 랜섬웨어의 변종이 발견됐다.

 

Lorenz 랜섬웨어

파일명에 ".Lorenz.sz40" 확장자를 추가하고 "HRLP_SECURITY_EVENT.html"라는 랜섬노트를 생성하는 "Lorenz" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕 화면 배경을 변경한다.

 

[그림 3] Lorenz 랜섬웨어 랜섬노트

 

2021년 11월 15일

Stop 랜섬웨어

파일명에 ".futm” 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 C2 서버 연결을 시도한다.

 

2021년 11월 17일

Babuk 랜섬웨어

파일명에 ".chich" 확장자를 추가하고 "Guide To Recover Your Fiels.txt"라는 랜섬노트를 생성하는 "Babuk" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.