동향 리포트/월간 동향 리포트

8월 랜섬웨어 동향 및 BitRansomware 랜섬웨어

TACHYON & ISARC 2020. 9. 7. 09:36

악성코드 분석보고서

1. 8월 랜섬웨어 동향

 

2020 8(8 01 ~ 8 31) 한 달간 랜섬웨어 동향을 조사한 결과, 해외에서는 일본 비즈니스 솔루션 업체 Konica Minolta, 미국 주류 및 와인 분야 기업인 Brown-Forman이 각각 “RansomEXX”, “Revil” 랜섬웨어에 공격을 받았다. 또한, 캐나다 운송 및 물류 회사 TFI International “DoppelPaymer” 랜섬웨어 공격을 받았으며, 표적 공격 및 정보 유출이 계속 발생하고 있다.

 

이번 보고서에서는 8월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 8월 등장한 “BitRansomware” 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.

 

 

1-1. 국내/외 랜섬웨어 소식

일본 비즈니스 솔루션 업체 Konica Minolta, RansomEXX 랜섬웨어 피해 사례

최근 일본 비즈니스 솔루션 업체인 Konica Minolta “RansomEXX” 랜섬웨어 공격을 받았다. 이로 인해 Konica Minolta 지원 사이트에 일주일 동안 접속할 수 없었다. 이번 공격에 사용된 랜섬웨어는 감염 PC Konica를 대상으로 한 “!! KONICA_MINOLTA_README !!.txt”란 이름의 랜섬노트 생성 및 “.K0N1M1N0”란 확장자를 파일 이름에 추가하며 해당 기업을 표적 공격한 사실을 알렸다. 현재 Konica Minolta는 관련 사항에 대해 조치 중이며, 각 기업은 사내 보안에 각별한 주의가 필요하다.

 

[그림  1] RansomEXX  랜섬웨어 랜섬노트

 

미국 주류 및 와인 분야 기업인 Brown-Forman, Revil 랜섬웨어 피해 사례

지난 7월 아르헨티나의 Telecom Argentina를 공격한 “Revil” 랜섬웨어가 최근 미국 주류 및 와인 분야 최대 기업 중 하나인 Brown-Forman을 공격했다. 이번 공격으로 2009년 이후의 계약, 재무 제표 및 내부 서신에 대한 기밀 정보가 포함된 1TB의 데이터가 유출됐다. 현재, “Revill”은 획득한 데이터 중 관련 정보 일부를 캡쳐하여 유출 사이트에 게시하며 협박하고 있으며 Brown-Forman은 관련 사항에 대해 대응 중이다. 최근, 랜섬웨어 감염과 더불어 정보 유출 건도 많아지고 있어 각 기업 및 공공기관의 주의가 필요하다.

 

[그림  2] REvil  랜섬웨어 랜섬노트 및 바탕화면

 

 

캐나다 운송 및 물류 회사 TFI International, DoppelPaymer 랜섬웨어 피해 사례

지난 8월 말, 캐나다 TFI International의 택배 회사 Canpar Express “DoppelPaymer” 공격을 받았다. 이로 인해 관련 업체의 사이트가 며칠 동안 접속되지 않았다고 한다. TFI는 사고를 인지한 즉시 조사를 시작하였고 관련 사항에 대한 조치 중이다. 아직 몸값에 대해 TFI의 공식 발표는 없었으며 업무는 차질없이 진행될 것이라고 웹 사이트에 게시했다.

 

[그림  3] DoppelPaymer  랜섬웨어 랜섬노트

 

1-2. 신종 및 변종 랜섬웨어

Silvertor 랜섬웨어

최근 “Silvertor” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 파일을 암호화 한 후, “.Silvertor” 확장자를 추가하고 시작프로그램 경로에 “README.html” 랜섬노트를 생성하여 감염 사실과 복구 방법을 안내한다. 또한, ‘C:\ProgramData’ 경로에 “cmdkey.bat” 배치 파일 생성 및 실행하여 볼륨 섀도우 복사본을 삭제하며, 시작프로그램 경로에 자가복제하여 자동 실행 되도록 설정한다. 만약, 사용자가 “Silvertor” 랜섬웨어에 감염되면 복구가 불가능하므로 사용자의 주의가 필요하다.

 

[그림  4] Silvertor  랜섬웨어 랜섬노트

 

 

DarkSide 랜섬웨어

최근 감염된 기업의 민감한 정보를 탈취하고 몸값을 지불하지 않을 경우 탈취한 정보를 공개하겠다고 협박하는 “DarkSide”랜섬웨어가 발견되었다. 해당 랜섬웨어는 실행되면 원활한 감염을 위해 지정된 프로세스를 종료하고, 기본적인 시스템 관련 파일 및 폴더와 특정 확장자를 제외한 모든 파일에 대해 암호화를 진행한다. 암호화가 완료된 파일은랜덤 명의 확장자가 덧붙으며 각 폴더 마다 “README.랜덤 명.TXT” 랜섬노트를 생성한다. 만약, “DarkSide” 랜섬웨어에 감염된 경우 기업의 민감한 정보를 탈취하여 공개하겠다는 내용으로 피해자를 협박하기 때문에 사용자의 주의가 필요하다

 

[그림 5] DarkSide 랜섬웨어 랜섬노트

 

Saturn 랜섬웨어

2년 전 활동했던 “Saturn” 랜섬웨어가 최근 다시 발견되었다. 해당 랜섬웨어는 가상 환경을 우회하고 특정 확장자와 디렉토리에 대해 암호화를 한다. 암호화가 완료된 파일은 “.saturn” 확장자가 추가되며 암호화가 이루어진 파일의 경로에 “#DECRYPT_MY_FILES#”라는 이름으로 랜섬노트를 생성하여 사용자에게 감염사실을 알린다. 또한, 볼륨 섀도우 복사본을 삭제하고 안전모드를 비활성화하여 복구를 무력화한다. 만약, Saturn 랜섬웨어에 감염이 된다면 디버깅과 가상 환경을 우회하여 암호화 동작을 하기에 더욱 주의가 필요하다.

 

[그림  6] Saturn  랜섬웨어 랜섬노트

 

2. BitRansomware 랜섬웨어 분석보고서

최근 “BitRansomware”로 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어에 감염되면 ‘C:\Windows’ 경로와 지정된 파일명을 제외한 모든 파일이 암호화된다. 암호화가 완료된 파일은 “.readme”란 확장자가 추가되며 암호화가 진행된 폴더에 “Read_Me.txt”란 이름의 랜섬노트를 생성하여 몸값 지불 경로를 안내한다.

 

이번 보고서에서는 “BitRansomware” 랜섬웨어의 동작에 대해 알아보고자 한다.

 

BitRansomware” 랜섬웨어는 암호화가 완료된 폴더에 “Read_ME.txt”란 이름의 랜섬노트가 생성되어 감염 사실 및 복구를 위한 몸값 지불 경로를 안내한다.

 

[그림  7]  랜섬노트

 

 암호화는 ‘C:\Windows\’를 제외한 모든 경로에서 진행되며, 암호화가 완료된 파일은 [그림 8]과 같이 “.readme” 확장자가 추가된다.

 

[그림  8]  암호화 결과

 

 

또한, [ 1]의 목록과 같이 파일명에 “.readme”가 있거나 “Read_Me.txt”인 경우에는 암호화 대상에서 제외된다.

 

[표  1]  암호화 제외 대상 확장자 및 폴더

 

이번 보고서에서 알아본 “BitRansomware” 랜섬웨어는 기본적인 시스템 관련 폴더인 ‘C\Windows’를 제외한 모든 경로에서 암호화를 진행하므로 사용자의 상당한 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 중요한 자료는 별도의 저장공간에 보관할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  9] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

 

 

 

 

잉카인터넷 네이버 공식 블로그 바로가기