분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] HelloKitty 랜섬웨어

TACHYON & ISARC 2021. 2. 25. 14:47

지난 11월 처음 발견된 “HelloKitty” 랜섬웨어에 의한 피해 사례가 꾸준히 발견되고 있으며, 최근에는 비디오 게임 개발 업체인 CD PROJEKT RED를 공격한 정황이 포착됐다. 이번 공격으로 인해 피해 기업은 일부 시스템이 암호화되어 업무에 지장을 받았고, 감염된 시스템에 남겨진 랜섬노트에 따르면 “HelloKitty” 랜섬웨어 운영진들이 해당 기업에서 정보를 탈취했다고 알려졌다. 해당 사건이 발생한 후, 피해 업체는 공식 트위터에 사이버 공격을 당했고 이로 인한 몸값 지불 및 협상을 하지 않겠다는 내용을 게시했다.

 

HelloKitty”에 감염되면 폴더마다 “read_me_lkd.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염사실을 알린다.

 

[그림  1]  랜섬노트

 

하지만, 이번 CD PROJEKT RED 공격에 사용된 랜섬웨어는 “read_me_unlock.txt”란 이름의 랜섬노트를 생성하며 [그림 2]와 같이 기업 명이 명시됐다.

 

[그림  2]  랜섬노트  - CD PROJEKT RED

 

감염된 컴퓨터의 파일은 암호화되며, 암호화가 완료된 파일은 [그림 3]과 같이 “.crypted”라는 확장자가 추가된다.

 

[그림  3]  암호화 결과

 

랜섬웨어 감염은 확장자의 제한이 없으며 사용중인 드라이브에서 [ 1]의 대상을 제외한 모든 파일을 대상으로 진행된다.

[표  1]   암호화 제외 대상

 

해당 랜섬웨어는 원활한 감염을 위해 약 1,500개 이상의 프로세스와 서비스를 [ 2]와 같이 실행하여 강제로 종료한다.

 

[표  2]  서비스 및 프로세스 종료 대상

 

CD PROJEKT RED가 사이버 공격을 받은 지 약 일주일 뒤, 외신은 “HelloKitty” 랜섬웨어 운영진이 피해 기업에서 탈취한 정보를 해커 포럼에 경매로 부쳤다고 알렸다. 하지만 정보가 실제로 판매됐는지, 금액은 얼마인지에 대해서는 알려진 바 없다.

최근 기업의 시스템에 침투하여 암호화한 후, 탈취한 정보 유출을 빌미로 랜섬머니를 요구하는 이중 협박 전략이 자주 사용된다. 따라서, 각 기업의 보안 담당자는 주기적인 사내 보안 교육과 보안 인식 강화 프로그램을 운영하여 기업 전체의 보안 인식을 높이고 사전에 사고를 예방하기 위해 노력해야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면