잉카인터넷 시큐리티대응센터 블로그

Sarbloh 랜섬웨어 분석 보고서 최근 “2020년 인도 농업법”에 반대하는 시위가 일어났으며 법안에 대해 반대하는 세력이 “Sarbloh” 랜섬웨어를 유포하기 시작했다. [그림 1]의 최 하단부에 기재된 힌디어인 “Khalsa Cyber Fauj” 를 해석하면 “칼사의 사이버 부대” 라는 뜻으로, 칼사(Khalsa)란 시크교도들을 가리키는 말이며 이번 법안에 가장 큰 피해를 입은 무리이다. 또한, 랜섬웨어의 이름인 “Sarbloh”는 칼사가 과거에 사용했던 검을 만들 때 사용하는 금속으로 시크교도들의 투쟁 의지를 나타낸다. “Sarbloh” 랜섬웨어는 피싱 메일에 악성 문서 파일을 첨부해 유포되고 있으며, 해당 문서 파일의 내부 매크로에 의해 페이로드를 다운로드하고, 실행시킨다. 실행된 “Sarblo..

국내/외 랜섬웨어 피해 사례 2021년 2월(2월 1일 ~ 2월 28일) 한 달간 랜섬웨어 동향을 조사한 결과, “HelloKitty” 랜섬웨어가 폴란드 비디오 게임 개발 업체 CD PROJEKT RED를 공격했다. 또한, “DoppelPaymer” 랜섬웨어가 국내 자동차 기업의 미국 지사를 공격했고, 미국 자동 자금 이체 서비스 제공 업체인 AFTS가 “Cuba” 랜섬웨어 공격을 받아 데이터가 유출된 사건이 있었다. 폴란드 비디오 게임 개발 업체 CD PROJEKT RED, HelloKitty 랜섬웨어 피해 사례 지난 11월 처음 발견된 “Hellokitty” 랜섬웨어에 의해 CD PROJEKT RED가 공격을 받았다. 이번 공격으로 인해 피해 기업은 일부 시스템이 암호화되어 업무에 지장을 받았고, 공..

지난 11월 처음 발견된 “HelloKitty” 랜섬웨어에 의한 피해 사례가 꾸준히 발견되고 있으며, 최근에는 비디오 게임 개발 업체인 CD PROJEKT RED를 공격한 정황이 포착됐다. 이번 공격으로 인해 피해 기업은 일부 시스템이 암호화되어 업무에 지장을 받았고, 감염된 시스템에 남겨진 랜섬노트에 따르면 “HelloKitty” 랜섬웨어 운영진들이 해당 기업에서 정보를 탈취했다고 알려졌다. 해당 사건이 발생한 후, 피해 업체는 공식 트위터에 사이버 공격을 당했고 이로 인한 몸값 지불 및 협상을 하지 않겠다는 내용을 게시했다. “HelloKitty”에 감염되면 폴더마다 “read_me_lkd.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염사실을 알린다. 하지만, 이번 CD PROJEKT RED 공..

최근 “BleachGap” 랜섬웨어가 발견되었다. ‘BleachGap’ 랜섬웨어는 %USERPROFILE% 경로를 대상으로 암호화 하고, 볼륨 섀도우 복사본 삭제를 통해 PC 복구가 불가능하도록 하며 마우스 버튼 좌우 반전 및 자주 사용하는 키보드 버튼을 비활성화 하여 사용자를 당혹스럽게 한다. 또한, 랜섬머니 지불 기간을 5일로 제한해 기한이 지나면 부팅을 불가능하게 만든다. “BleachGap” 랜섬웨어를 실행하면 전반적인 랜섬웨어 동작을 담당하는 배치 파일을 드랍한다. 해당 배치 파일은 ‘%USERPROFILE%’ 폴더 및 하위 폴더의 모든 파일을 암호화하며 암호화된 파일의 확장자를 “.lck” 로 변경하고, 감염된 사용자가 시스템을 복원할 수 없도록 볼륨 섀도우 복사본을 삭제한다. 또한, 레지스트..

지난 2016년도부터 꾸준히 모습을 나타낸 Xorist 랜섬웨어가 또 다른 변종으로 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 달리 메시지 창을 띄워 감염사실을 알리는 특이한 모습으로, 특정 확장자에 대하여 파일 감염 동작을 수행한다. 그리고 사용자가 감염된 파일을 실행할 때 오류 메시지 창을 띄워 랜섬노트의 내용과 함께 금전적인 요구를 하기에 주의가 필요하다. Xorist 랜섬웨어의 악성동작이 수행되면, 아래의 이미지와 같이 오류 메시지 창을 띄운다. 위의 메시지 창과 함께 모든 디렉토리 아래에 동일한 내용의 랜섬노트도 생성한다. 해당 랜섬웨어는 사용중인 모든 드라이브를 대상으로 다음의 확장자를 대상으로 암호화 동작을 수행한다. 감염 동작이 수행되면 파일 유형은 “CRYPTED!”로 변경되며, 파..

최근 “Namaste” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 원활한 암호화 동작을 수행하기 위해서 웹 브라우저와 같은 특정 프로세스 이외에 현재 시스템 권한으로 실행되고 있지 않은 모든 프로세스를 종료하고 파일을 암호화한다. 그리고 랜섬노트를 통해 10 유로를 지불하라고 협박하고 있어 사용자의 주의가 필요하다. “Namaste” 랜섬웨어 실행 시, 작업표시줄을 비활성화하고 현재 실행중인 프로세스를 검색하여 [표 1] 목록 이외에 모든 프로세스를 종료한다. 그리고 “WinDecrypt” 라는 이름으로 스케줄러에 등록하여, 시스템 시작 시 “Namaste” 랜섬웨어가 실행되도록 설정한다. 다음 [표 2] 암호화 대상 조건에 부합하는 파일을 암호화하고, “_enc” 확장자를 암호화한 파일에 덧붙인다. 파일을..

“MrDec” 또는 “_RSA” 라고 알려진 랜섬웨어는 모든 이벤트 뷰어 로그를 삭제하고 파일 암호화 후에는 자기자신을 삭제한다. 지난 2018년에 발견되어 현재까지 유포되고 있어 주의가 필요하다. 해당 랜섬웨어는 아래 [표 1]의 암호화 제외 목록에 따라 기본적인 시스템 파일을 제외한 모든 대상 파일에 대해 암호화를 진행한다. 파일 암호화가 완료되면 “임의의ID_RSA” 형태의 확장자를 덧붙이며 암호화 대상 경로마다 “Data recovery.hta” 랜섬노트를 생성하고 실행한다. 파일 암호화 이외에도 명령 프롬프트에서 모든 이벤트 뷰어 로그 지우기 위해 ‘Windows’ 폴더에 ”delog.cmd" 파일을 생성하고 실행한다. 마지막으로 해당 랜섬웨어는 사용자가 복구하기 어렵도록 볼륨 섀도우 복사본을 ..

1. 랜섬웨어 피해 사례 2020년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “에그레고르(Egregor)”, “류크(Ryuk)”, “클롭(Clop)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 10월에는 공정거래위원회 사칭 문서를 이용한 “마콥(Makop)” 랜섬웨어 공격이 있었고, 11월과 12월에는 이탈리아 주류 회사 Campari Group과 영국 대형 의료 업체 The Hospital Group이 각각 “라그나락커(RagnarLocker)”와 “레빌(REvil)” 랜섬웨어 공격을 받아 피해가 발생했다. 에그레고르(Egregor) 랜섬웨어 피해 사례 올해 9월부터 활발한 공격을 하고있는 에그레고르 랜섬웨어는 주로 피싱 메일을 이용해 유포된다. 또한,..

1월 초, 파일을 드롭하여 악성동작을 하는 Matrix 랜섬웨어가 등장하였다. 해당 랜섬웨어는 배치파일 등을 이용하여 사용자 PC에 악성동작을 수행한다. 그리고 기본적인 윈도우 관련 디렉토리를 제외한 모든 폴더에 대하여 파일을 감염하기에 주의가 필요하다. 하기의 이미지를 드롭하여 바탕화면으로 등록하여 감염사실을 알린다. 또한, 감염 동작이 이루어진 모든 폴더 아래에 랜섬노트를 생성하여 감염사실을 2차적으로 알린다. Matrix 랜섬웨어는 먼저, 임의의 파일명으로 자가복사를 하고, vbs 파일과 bat 드롭한다. 드롭된 vbs 파일은 bat 파일을 schtasks 에 등록하여 5분마다 실행하도록 한다. 이 때 알람이 뜨지않고 작업이 겹칠 경우 강제로 실행하도록 하여 사용자가 눈치채지 못하도록 한다. 그리고..

주말 동안 윈도우 유틸리티 개발 업체인 IObit에서 발송한 것으로 위장한 메일이 IObit 회원들에게 전송됐다. 메일은 자사 1년 무료 라이선스를 지급한다는 내용으로 작성되었으며, “DeroHE” 랜섬웨어가 포함된 압축 파일을 다운로드하는 링크가 포함되어있다고 알려졌다. 만약, 사용자가 메일로 받은 링크에서 파일을 다운로드 한 후, 라이선스 획득을 위해 IObit License Manager.exe를 실행하면 “DeroHE” 랜섬웨어가 실행되어 파일이 암호화되며 확장자가 “.DeroHE”로 변경된다. 또한, 파일 복구를 위해 200 Dero 코인을 요구하므로 주의가 필요하다. 다운로드된 파일을 압축 해제한 후, IObit License Manager.exe를 실행하면 랜섬웨어 동작을 하는 iobit.d..