피싱 이메일로 유포되는 Rhysida 랜섬웨어
최근 전 세계의 교육, 군사 및 의료 등 다양한 분야를 대상으로 하는 “Rhysida” 랜섬웨어의 공격 사례가 잇따라 발견되고 있다. 공격자는 피싱 이메일로 사용자 PC에 접근한 후, 코발트 스트라이크(Cobalt Strike)와 같은 명령 및 제어 프레임워크를 이용해 해당 랜섬웨어를 다운로드한다. 이후, 원격 제어 프로그램 “Psexec”를 이용해 다운로드한 랜섬웨어를 실행한다.
“Rhysida” 랜섬웨어는 사용자 PC의 파일을 암호화하고, “CriticalBreachDetected.pdf”란 이름의 랜섬노트를 생성한다.
해당 랜섬웨어는 암호화된 파일의 파일명에 “[.rhysida]” 확장자를 추가한다.
암호화는 랜섬웨어 실행 시 대상 폴더를 지정할 수 있으며, 대상 폴더를 생략하면 시스템 전체를 대상으로 암호화를 진행한다. 단, [표 1]의 암호화 제외 폴더와 암호화 제외 확장자를 지닌 파일은 암호화하지 않는다.
암호화를 완료한 후, PowerShell의 “Remove-Item” 명령어를 사용해 자가 삭제를 수행한다.
또한, 랜섬노트의 내용이 담긴 사진으로 바탕화면 배경을 변경해 사용자에게 랜섬웨어 감염 사실을 알린다.
“Rhysida” 랜섬웨어는 피싱 이메일을 이용해 유포되며, 감염된 PC의 파일을 암호화한다. 또한, 현재까지 밝혀진 공격 사례에서 다양한 국가와 분야를 대상으로 삼는 등 해당 랜섬웨어의 공격 대상을 특정할 수 없어 주의가 필요하다. 따라서, 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 백신 프로그램과 OS를 항상 최신버전으로 유지할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
