UnderGround 랜섬웨어, 텔레그램에 탈취 정보 공개
최근 전 세계의 제조, 의료 및 금융 서비스 등 다양한 분야를 대상으로 한 공격에 사용된 “UnderGround” 랜섬웨어가 발견됐다. “UnderGround” 랜섬웨어에 감염된 파일은 확장자가 변경되지 않아 육안으로 감염 여부를 확인하기 어렵고 암호화할 파일을 다른 프로세스가 사용 중이면 윈도우 리스타트 매니저로 프로세스를 종료한 뒤 암호화한다. 이후, 암호화한 경로마다 랜섬노트를 생성해 사용자에게 랜섬머니를 요구하고 랜섬웨어 실행 경로에 생성한 배치 스크립트를 실행해 자기 자신과 이벤트 로그를 삭제한다.
“UnderGround” 측은 아래 [그림 1]과 같이 자신들이 운영하는 정보 유출 사이트에 탈취한 데이터를 공개하고 그중 일부를 “UnderGround Team”이라는 텔레그램 채널에 게시한다. 정보 유출이 공개된 사례 중에서는 올해 3월에 국내 제조 업체가 공격받아 데이터가 유출된 정황이 발견됐다.
“UnderGround” 랜섬웨어를 실행하면 파일을 암호화한 경로마다 “!!readme!!!.txt”라는 랜섬노트를 생성하고 피해자에게서 탈취한 데이터 공개를 빌미로 3일 이내에 연락할 것을 요구한다. 그러나 분석 시점에서는 랜섬노트에 작성된 TOR 주소로 접속되지 않았다.
다음 [그림 3]은 임의로 생성한 텍스트 파일을 암호화한 결과이며 암호화 이후에는 파일 내용 끝에 “&YA1”이라는 문자열을 추가한다. 이 경우 랜섬웨어가 다시 실행되더라도 한 번 감염된 파일은 암호화하지 않는다.
파일 암호화 과정에서는 [표 1]의 확장자와 경로 및 폴더 등을 제외한다. 그리고 암호화한 파일에는 확장자를 추가하지 않고 원본 파일명을 그대로 유지해 사용자가 암호화된 파일을 쉽게 구분하지 못하게 한다.
그리고 파일을 암호화하는 과정 중 윈도우 계정이나 서비스 관리 등에 사용되는 “net.exe”로 MSSQL 서비스를 종료한 뒤 데이터베이스 파일을 암호화할 수 있게 한다.
다음으로, 암호화할 파일을 다른 프로세스에서 “LockFile” API로 잠근 경우 해당 파일에 접근하면 ERROR_LOCK_VIOLATION 에러가 반환된다. 이때, 암호화할 파일은 접근이 불가능하므로 윈도우 리스타트 매니저(Windows Restart Manager)를 사용해 프로세스를 종료한 뒤 암호화한다.
또한, 아래 [표 3]의 명령으로 볼륨 섀도우 복사본을 삭제해 시스템 복구를 무력화하고 원격 데스크톱 프로토콜(RDP, Remote Desktop Protocol)의 세션 관련 레지스트리를 추가해 연결 종료된 세션의 만료 시간을 14일로 변경한다.
마지막으로, “UnderGround” 랜섬웨어와 동일한 경로에 “temp.cmd”라는 배치 스크립트를 생성하고 랜섬웨어 파일 경로를 인자 값으로 지정해 실행한다. 해당 배치 스크립트는 랜섬웨어 파일과 자기 자신을 삭제하고 윈도우 이벤트 관리 도구인 “Webutil.exe”로 랜섬웨어 실행 흔적을 지워 감염 사실을 숨긴다.
“UnderGround” 랜섬웨어는 암호화한 파일명을 변경하지 않아 사용자가 암호화된 파일을 쉽게 구별하지 못해 주의가 필요하다. 따라서 출처가 불분명한 파일의 다운로드와 실행은 지양하고 정기적으로 백업해 중요한 파일들을 안전하게 보관하며 보안 솔루션을 최신 버전으로 유지하는 것이 중요하다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.
