동향 리포트/월간 동향 리포트

11월 랜섬웨어 동향 및 Pulpit 랜섬웨어

TACHYON & ISARC 2020. 12. 4. 21:46

악성코드 분석보고서

 

1. 11월 랜섬웨어 동향

 2020 11(11 01 ~ 11 30) 한 달간 랜섬웨어 동향을 조사한 결과, “Clop” 랜섬웨어 운영자가 국내 소매 대기업을 공격했다고 주장하였고, 해외에서는 프랑스 IT 서비스 대기업 Sopra Steria “Ryuk” 랜섬웨어 공격을 받았다. 또한, 일본의 게임 개발 업체 Capcom “RagnarLocker” 랜섬웨어에 공격을 받아 데이터가 유출된 사건이 있었다.

 

1-1. 국내/외 랜섬웨어 소식

프랑스 IT 서비스 대기업 Sopra Steria, Ryuk 랜섬웨어 피해 사례

 지난 10 20일경, 프랑스 IT 서비스 대기업 Sopra Steria “Ryuk” 랜섬웨어 공격을 당해 5천만 유로의 손실이 생겼다. 해당 업체에서는 보안 담당자에 의해 회사 및 고객의 데이터 유출과 손상은 막았다고 발표했다. 6일 뒤인 10 26일부터 자사 시스템을 복구하기 시작하여 현재는 워크 스테이션, R&D 및 프로덕션 서버 등 주요 시스템이 정상적으로 운영되고 있다.

 

[그림  1] Ryuk  랜섬웨어 랜섬노트

 

일본 게임 개발 업체 Capcom, RagnarLocker 랜섬웨어 피해 사례

 일본 게임 개발 업체 Capcom이 지난 11월 초 랜섬웨어 공격을 받아 데이터가 유출된 정황이 발견되었다. 해당 업체는 이메일 및 파일 서버를 포함한 특정 시스템의 접근에 영향을 미치는 문제가 발견되어 네트워크의 일부 운영을 중단하였다고 밝혔다. “RagnarLocker” 랜섬웨어는 1TB의 데이터를 탈취했다고 주장 중이며 데이터 유출 사이트에 탈취한 파일 공개를 빌미로 1,100만 달러 상당의 암호 화폐를 요구하고 있다.

 

[그림 2] RagnarLocker 랜섬웨어 랜섬노트  

 

국내 소매 대기업, Clop 랜섬웨어 피해 사례

 지난 11월 중순, 국내 유명 소매 대기업이 “Clop” 랜섬웨어의 공격을 당했다고 알려져 이슈가 되었다. 해당 업체는 이번 랜섬웨어 공격으로 인해 총 50개의 소매점 중 23개의 소매점이 운영을 중단했고, 고객 정보 및 기타 민감한 데이터들은 별도의 서버에 저장되어 안전하다고 발표했다. 한편 다크웹에서는 피해 기업과 랜섬웨어 운영자가 메일을 통해 랜섬머니를 조율하고 있는 것이 포착되었다. 만약 해당 기업이 거액의 랜섬머니를 지불한다면 추후 국내 기업이 랜섬웨어 공격의 타깃이 될 우려가 있어 기업 보안 담당자의 각별한 주의가 필요하다.

 

[그림  3] Clop  랜섬웨어 랜섬노트

 

1-2. 신종 및 변종 랜섬웨어

Qotix 랜섬웨어

 2016 4월에 발견된 “Jigsaw” 랜섬웨어를 기반으로 한 “Qotix” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 PDF 파일 활용 프로그램으로 위장하여 유포되는 것으로 알려져 있으며 감염되면 파일 암호화가 진행되고, 파일 이름에 “.v315” 확장자가 추가된다. 암호화 이후 윈도우 UI 창으로 구성된 랜섬노트를 띄우며, 감염된 PC를 이용하여 암호 화폐를 채굴한다.

[그림  4] Qotix  랜섬웨어 랜섬노트

 

Fonix 랜섬웨어

 지난 10월 중순, 파일을 암호화한 후 제한된 기한 안에 랜섬머니를 지불하지 않으면 암호화된 파일을 모두 삭제하는 “Fonix” 랜섬웨어가 발견되었다. 해당 랜섬웨어가 실행되면 파일 암호화가 진행되며 암호화된 파일은 “.XINOF” 라는 확장자가 붙는다. 또한, 사용자가 자주 사용할 만한 프로세스를 강제로 종료 시켜 PC 이용을 제한한다. 그리고 안전 모드를 통한 부팅, 작업 관리자, 윈도우 디펜더(Windows Defender)를 비활성화하며 볼륨 섀도우 복사본을 삭제하여 복구를 불가능하게 만든다.

[그림  5] Fonix  랜섬웨어 랜섬노트

 

Lola 랜섬웨어

지난 11월 초, 암호화폐 체굴기를 위장하여 파일을 암호화 하는 “Lola” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 ‘btc.exe’라는 파일을 자동 실행 압축한 상태로 유포된다. 암호화된 파일은 “.Lola” 확장자가 추가되고, 암호화가 완료되면 윈도우 서비스에 해당 랜섬웨어를 등록한다. 마지막으로 시스템 복구를 무력화하기 위해 안전 모드를 통한 부팅을 비활성화 하고, 볼륨 섀도우 복사본을 삭제한다.

 

[그림  6] Lola  랜섬웨어 랜섬노트

 

2. Pulpit 랜섬웨어 분석보고서

최근 “Pulpit” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 특정 폴더의 파일 대해 암호화를 하고, 랜섬노트를 띄운 후 피해자에게 랜섬머니를 요구한다. 그리고 재부팅 시 윈도우 경고 메시지를 띄워 감염되었음을 알린다. , 파워쉘을 이용해 보안 소프트웨어를 포함한 서비스 종료를 시도하므로 사용자의 주의가 필요하다.

 

Pulpit” 랜섬웨어에 감염되면 ‘ProgramData’, ‘Users’ 폴더 및 하위 폴더에서 ‘exe’, ‘dll’ 파일을 제외한 모든 확장자의 파일이 암호화 된다. 암호화가 완료되면 파일명에 “.pulpit” 이라는 이름의 확장자를 덧붙인다.

 

[그림  7]  암호화 결과

 

추가적으로 암호화 대상 폴더에 ‘HOW_TO_DECRYPHER_FILES.txt’ 라는 랜섬노트를 바탕화면에 생성하여 사용자에게 감염 사실을 알린다.

 

[그림  8]  랜섬 노트


또한, 레지스트를 변조하여 [그림 9]와 같이 윈도우 시작 시 경고 메시지를 띄워 감염되었음을 알린다.

 

[그림  9]  재부팅 후 메시지

 

마지막으로 원활한 감염을 위한 사전 작업으로 파워쉘을 이용해 보안 소프트웨어가 포함된 서비스 강제 종료를 시도한다.

 

 

[표  1]  종료 서비스

 

이번 보고서에서 알아본 “Pulpit” 랜섬웨어는 윈도우 경고 메시지를 이용해 감염된 사실을 강력히 전달하고, 사용자의 불안한 심리를 가중시켜 랜섬머니를 요구하므로 사용자의 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 하는 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  10] TACHYON Endpoint Security 5.0  진단 및 치료 화면