분석 정보/랜섬웨어 분석 정보

[주간 랜섬웨어 동향] – 3월 5주차

TACHYON & ISARC 2022. 4. 20. 13:26

 

잉카인터넷 대응팀은 2022년 3월 25일부터 2022년 3월 31일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "DoubleZero" 1건, 변종 랜섬웨어는 "Conti" 외 3건이 발견됐다.

 

금주 랜섬웨어 관련 이슈로는 "Lapsus$" 랜섬웨어 그룹 구성원 일부를 체포했으며 "Hive" 랜섬웨어 그룹이 변종 랜섬웨어를 Rust 프로그래밍 언어로 변환한 이슈가 있었다.

 

[표 1] 2022년 3월 5주차 신•변종 랜섬웨어 정리

 

2022년 3월 25일

Conti 랜섬웨어

파일명에 ".tq6ou" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스를 종료한다.

 

Lapsus$ 랜섬웨어 그룹 구성원 일부 체포

최근 런던시 경찰이 Microsoft, Nvidia 및 Okta 등의 업체를 공격한 lapsus$ 랜섬웨어 그룹 구성원 7명을 체포했다고 밝혔다. 체포된 인원 중 일부는 주소, 생년월일 등의 개인정보가 공개됐으며 외신은 해킹을 당한 것이라고 추정하고 있다.

 

2022년 3월 26일

Hive 랜섬웨어

파일명에 ".G_nnso_o_ynKysp1dUhl" 확장자를 추가하고 "HOW_TO_DECRYPT.txt"라는 랜섬노트를 생성하는 "Hive" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스를 종료한다.

 

[그림 1] Hive 랜섬웨어 랜섬노트

 

2022년 3월 28일

DoubleZero 랜섬웨어

확장자를 변경하지 않고 랜섬노트를 생성하지 않는 "DoubleZero" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다.

 

Rust 프로그래밍 언어로 변환한 Hive 랜섬웨어 변종

Hive 랜섬웨어 그룹은 리눅스용 가상 머신 암호화기를 Rust 프로그래밍 언어로 변환했다. 기업에서 보다 쉬운 백업을 위해 가상 머신 사용이 증가함에 따라 랜섬웨어 그룹은 이러한 서비스에 중점을 둔 전용 암호화기를 만들고 있다.

 

2022년 3월 30일

Venus 랜섬웨어

파일명에 ".Ywkistef" 확장자를 추가하고 "README.txt"라는 랜섬노트를 생성하는 "Venus" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고, 특정 프로세스 실행을 차단한다. 또한, 바탕화면의 배경을 [그림 3]으로 변경한다.

 

[그림 2] Venus 랜섬웨어 랜섬노트

 

[그림 3] Venus 랜섬웨어 배경화면

 

2022년 3월 31일

Stop 랜섬웨어

파일명에 ".wdlo" 확장자를 추가하고 _readme.txt "라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다.