동향 리포트/년간 동향 리포트

2023년 상반기 랜섬웨어 동향 보고서

TACHYON & ISARC 2023. 7. 12. 15:38

1. 랜섬웨어 통계

2023년 상반기(1 1 ~ 6 30) 동안 잉카인터넷 대응팀은 랜섬웨어 신변종 현황을 조사하였으며, 상반기에 발견된 신변종 랜섬웨어의 건수는 [그림 1]과 같다. 상반기에는 월 평균 13건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 2월과 4월에 가장 많이 발견됐다.

 

[그림 1] 2023년 상반기 월별 신변종 랜섬웨어 비교

 

2023년 상반기(1 1 ~ 6 30) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다.

 

[그림 2] 2023년 상반기 월별 랜섬머니 비교

 

2023년 상반기(1 1 ~ 6 30) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 25%로 가장 많았고, 랜섬머니를 요구하지 않는 경우와 모네로(XMR)를 요구하는 경우는 각각 5%3% 비율을 차지했다. 그 외에도 디스코드, 텔레그렘 및 QR 코드 등의 방법을 사용해 랜섬머니를 요구했다.

 

[그림 3] 2023년 상반기 랜섬머니 통계

 

2023년 상반기(1 1 ~ 6 30) 동안의 신변종 랜섬웨어는 아래 표와 같고, 신종은 붉은색, 변종은 푸른색으로 표시했다. 이외에 표시된 색상은 상반기 내 신변종이 3건 이상인 랜섬웨어이다.

 

[그림 4] 2023년 상반기 월별 신변종 랜섬웨어

 

 

2. /변종 랜섬웨어

1

Play

파일명에 .PLAY 확장자를 추가하고 ReadMe.txt라는 랜섬노트를 생성하는 Play 랜섬웨어의 변종이 발견됐다.

 

[그림 5] Play 랜섬웨어 랜섬노트

 

BlackHunt

파일명에 .[랜덤 문자열].[공격자 이메일].Black 확장자를 추가하고 [그림 6]의 랜섬노트를 생성하는 BlackHunt 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

-  BlackHunt 랜섬웨어 랜섬노트 : #BlackHunt_ReadMe.txt

 

[그림 6] BlackHunt 랜섬웨어 랜섬노트 - TXT

 

BlackHunt 랜섬웨어 랜섬노트 : #BlackHunt_ReadMe.hta

 

[그림 7] BlackHunt 랜섬웨어 랜섬노트 - HTA

 

 Obz

파일명에 .obz 확장자를 추가하고 readme.txt라는 랜섬노트를 생성하는 Obz 랜섬웨어가 발견됐다. 해당 랜섬웨어는 원본 샘플을 자가 삭제한다.

 

[그림 8] Obz 랜섬웨어 랜섬노트

 

AvosLocker

파일명에 .avos2 확장자를 추가하고 GET_YOUR_FILES_BACK.txt라는 랜섬노트를 생성하는 AvosLocker 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 [그림 10]으로 바탕화면을 변경한다.

 

-   AvosLocker 랜섬웨어 랜섬노트 : GET_YOUR_FILES_BACK.txt

 

[그림 9] AvosLocker 랜섬웨어 랜섬노트

 

AvosLocker 랜섬웨어 바탕화면 변경

 

[그림 10] AvosLocker 랜섬웨어 바탕화면 변경

 

 2

Paradise

파일명에 .[id-사용자 아이디].[공격자 이메일] 확장자를 추가하고 #DECRYPT MY FILES#.html라는 랜섬노트를 생성하는 Paradise 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 11] Paradise 랜섬웨어 랜섬노트

 

BlackBasta

파일명에 .a3y00dywf 확장자를 추가하고 instructions_read_me.txt라는 랜섬노트를 생성하는 BlackBasta 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 암호화한 파일의 아이콘을 변경한다.

 

[그림 12] BlackBasta 랜섬웨어 랜섬노트

 

Zeppelin

파일명에 .ID.[사용자 ID] 확장자를 추가하고 ENCRYPTED.TXT라는 랜섬노트를 생성하는 Zeppelin 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 원본 샘플은 자가 삭제한다.

 

[그림 13] Zeppelin 랜섬웨어 랜섬노트

 

Amnesia

파일명에 .[랜덤 문자열].APT14CHIR 확장자를 추가하고 PLEASE READ.txt라는 랜섬노트를 생성하는 Amnesia 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 원본 샘플의 자가 삭제와 랜섬노트를 자동 실행하도록 등록한다.

 

[그림 14] Amnesia 랜섬웨어 랜섬노트

 

3

KEEPCALM

파일명에 -+Id(사용자 ID) mail(공격자 이메일).KEEPCALM 확장자를 추가하고 ReadMe.txt라는 랜섬노트를 생성하는 KEEPCALM 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자를 사용하지 못하게 설정한다.

 

[그림 15] KEEPCALM 랜섬웨어 랜섬노트

 

MedusaLocker

파일명에 .skynetwork8 확장자를 추가하고 How_to_back_files.html라는 랜섬노트를 생성하는 MedusaLocker 랜섬웨어의 변종이 발견됐다.

 

[그림 16] MedusaLocker 랜섬웨어 랜섬노트

 

Snatch

파일명에 .kmufesd 확장자를 추가하고 HOW TO RESTORE YOUR FILES.TXT라는 랜섬노트를 생성하는 Snatch 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 17] Snatch 랜섬웨어 랜섬노트

 

DarkPower

파일명에 .dark_power 확장자를 추가하고 readme.pdf라는 랜섬노트를 생성하는 DarkPower 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스와 프로세스를 종료한다.

 

[그림 18] DarkPower 랜섬웨어 랜섬노트

 

Abyss

파일명에 .rn 확장자를 추가하고 바탕화면을 변경해 랜섬노트를 보여주는 Abyss 랜섬웨어가 발견됐다. 해당 랜섬웨어는 파일을 자가 복제하고 [그림 19]와 같이 바탕화면을 변경한다.

 

[그림 19] Abyss 랜섬웨어 랜섬노트

 

4월

MoneyMessage

파일을 암호화한 후 확장자를 변경하지 않고 money_message.log라는 랜섬노트를 생성하는 MoneyMessage 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 20] MoneyMessage 랜섬웨어 랜섬노트

 

Blaze

파일명에 .blaze 확장자를 추가하고 How to Decrypt.txt라는 랜섬노트를 생성하는 Blaze 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 21] Blaze 랜섬웨어 랜섬노트

 

CrossLock

파일명에 .crlk 확장자를 추가하고 ---CrossLock_readme_To_Decrypt---.txt라는 랜섬노트를 생성하는 CrossLock 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 22] CrossLock 랜섬웨어 랜섬노트

 

BlackBit

파일명에 .[공격자 이메일][사용자 ID][파일명].BlackBit 확장자를 추가하고 [그림 23]의 랜섬노트를 생성하는 BlackBit 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 방화벽 사용을 해제한다. 그다음 작업 스케줄러를 등록해 지속성을 확보하고 [그림 24]와 같이 바탕화면 배경을 변경한다.

 

-  BlackBit 랜섬웨어 랜섬노트 : info.hta

 

[그림 23] BlackBit 랜섬웨어 랜섬노트

 

-  BlackBit 랜섬웨어 바탕화면 변경

 

[그림 24] BlackBit 랜섬웨어 바탕화면 변경

 

Uniza

파일을 암호화한 후 확장자를 변경하지 않고 [그림 25]와 같이 콘솔 창에서 랜섬노트를 보여주는 Uniza 랜섬웨어가 발견됐다.

 

[그림 25] Uniza 랜섬웨어 랜섬노트

 

5

BigHead               

파일명을 [랜덤 문자열]로 변경하고 README_[랜덤 7자리 숫자].txt라는 랜섬노트를 생성하는 BigHead 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 자동 실행을 등록해 지속성을 확보한다.

 

[그림 26] BigHead 랜섬웨어 랜섬노트

 

RansomBlox

파일명에 .ROBLOX 확장자를 추가하고 [그림 27]의 랜섬노트를 생성하는 RansomBlox 랜섬웨어가 발견됐다.

 

[그림 27] RansomBlox 랜섬웨어 랜섬노트

 

Babuk

파일명에 .GAGUP 확장자를 추가하고 How To Restore Your Files.txt라는 랜섬노트를 생성하는 Babuk 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 28] Babuk 랜섬웨어 랜섬노트

 

Natali

파일명에 .crYpt 확장자를 추가하고 readme_for_unlock.txt라는 랜섬노트를 생성하는 Natali 랜섬웨어가 발견됐다. 해당 랜섬웨어는 자동 실행을 등록해 지속성을 확보한다.

 

[그림 29] Natali 랜섬웨어 랜섬노트

 

Alphaware

파일명에 .Alphaware 확장자를 추가하고 readme.txt라는 랜섬노트를 생성하는 Alphaware 랜섬웨어가 발견됐다. 해당 랜섬웨어는 파일을 자가 복제한다.

 

[그림 30] Alphaware 랜섬웨어 랜섬노트

 

DarkRace

파일명에 .1352FF327 확장자를 추가하고 Readme.1352FF327.txt라는 랜섬노트를 생성하는 DarkRace 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한 후 특정 프로세스의 실행을 차단하며, 암호화를 완료하면 윈도우를 재부팅한다.

 

[그림 31] DarkRace 랜섬웨어 랜섬노트

 

6

Dharma

파일명에 .mono 확장자를 추가하고 [그림 32]의 랜섬노트를 생성하는 Dharma 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 32] Dharma 랜섬웨어 랜섬노트

 

Hardbit

파일명에 .[랜덤 10자리 문자열].[사용자 ID].[공격자 메일].hardbit3 확장자를 추가하고 [그림 33]의 랜섬노트를 생성하는 Hardbit 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행을 차단한 후, 바탕화면과 드라이브 이름을 변경한다.

 

-  HardBit 랜섬웨어 랜섬노트 : How To Restore Your Files.txt

 

[그림 33] Hardbit 랜섬웨어 랜섬노트 - TXT

 

-  HardBit 랜섬웨어 랜섬노트 : Help_me_for_Decrypt.hta

 

[그림 34] Hardbit 랜섬웨어 랜섬노트 - HTA

 

-  HardBit 랜섬웨어 바탕화면 배경

 

[그림 35] Hardbit 랜섬웨어 바탕화면 배경 변경

 

Udaigen

파일명에 .jcrypt 확장자를 추가하고 [그림 36]의 랜섬노트를 생성하는 Udaigen 랜섬웨어가 발견됐다.

 

[그림 36] Udaigen 랜섬웨어 랜섬노트

 

Resq100

파일명에 .resq100 확장자를 추가하고 resq_Recovery.txt라는 랜섬노트를 생성하는 Resq100 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 작업 스케줄러를 등록해 지속성을 확보한다.

 

[그림 37] Resq100 랜섬웨어 랜섬노트

 

 

 

저작자표시 비영리 변경금지

'동향 리포트 > 년간 동향 리포트' 카테고리의 다른 글

2023년 하반기 랜섬웨어 동향 보고서  (19) 2024.01.26
2024년 사이버 보안 전망  (0) 2023.12.20
2022년 하반기 랜섬웨어 동향 보고서  (0) 2023.01.11
2022년 상반기 랜섬웨어 동향 보고서  (0) 2022.07.15
2022 사이버 보안 전망  (0) 2022.02.22

'동향 리포트/년간 동향 리포트'의 다른글

  • 현재글2023년 상반기 랜섬웨어 동향 보고서

관련글

댓글

티스토리툴바