2023년 하반기 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

2023년 하반기(7월 1일 ~ 12월 31일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 하반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 하반기에는 월 평균 16건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 8월과 11월에 가장 많이 발견됐다.

 

[그림 1] 2023년 하반기 월별 신변종 랜섬웨어 비교

 

2023년 하반기(7월 1일 ~ 12월 31일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다.

 

[그림 2] 2023년 하반기 월별 랜섬머니 비교

 

2023년 하반기(7월 1일 ~ 12월 31일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 35%로 가장 많았고, 모네로(XMR)를 요구하거나 랜섬머니를 요구하지 않는 경우는 각각 2%와 1% 비율을 차지했다. 그 외에도 이메일, 홈페이지 및 텔레그램 등의 방법을 사용해 랜섬머니를 요구했다.

 

[그림 3] 2023년 하반기 랜섬머니 통계

 

2023년 하반기(7월 1일 ~ 12월 31일) 동안의 신•변종 랜섬웨어는 아래 표와 같고, 신종은 붉은색, 변종은 푸른색으로 표시했다. 이외에 표시된 색상은 하반기 내 신•변종이 5건 이상인 랜섬웨어이다.

 

[그림 4] 2023년 하반기 월별 신변종 랜섬웨어

 

 

2.      신/변종 랜섬웨어

7월

Snatch

파일명에 “.tcvjuo” 확장자를 추가하고 “HOW TO RESTORE YOUR TCVJUO FILES.TXT”라는 랜섬노트를 생성하는 “Snatch” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 이벤트 뷰어 로그를 삭제한다.

 

[그림 5] Snatch 랜섬웨어 랜섬노트

 

GoldenAxe

파일명에 “.[5자리 랜덤 문자열]” 확장자를 추가하고 [그림 6]과 [그림 7]의 랜섬노트 외에도 VBS 파일로 랜섬노트를 생성하는 “GoldenAxe” 랜섬웨어 변종이 발견됐다. 해당 랜섬웨어는 원본 샘플을 자가 삭제하고 시스템 복원을 무력화한다.

 

- GoldenAxe 랜섬웨어 랜섬노트 : # instructions-[5자리 랜덤 문자열] #.txt

[그림 6] GoldenAxe 랜섬웨어 노트 - TXT

 

- GoldenAxe 랜섬웨어 랜섬노트 : # instructions-[5자리 랜덤 문자열] #.jpg

[그림 7] GoldenAxe 랜섬웨어 랜섬노트 - JPG

 

SopEnc

파일명에 “.[[디바이스 ID]].[[입력한 이메일]].sophos” 확장자를 추가하고 “information.hta”라는 랜섬노트를 생성하는 “SopEnc” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 휴지통을 비우고 시스템 복원을 무력화한다.

 

[그림 8] SopEnc 랜섬웨어 랜섬노트

 

BlackBerserk

파일명에 “.Black” 확장자를 추가하고 “Black_Recover.txt”라는 랜섬노트를 생성하는 “BlackBerserk” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 작업 스케줄러를 등록해 지속성을 확보한다.

 

[그림 9] BlackBerserk 랜섬웨어 랜섬노트

 

8월

TrashPanda

파일명에 “.monochromebear” 확장자를 추가하고 “[랜덤 문자열]-readme.html”라는 랜섬노트를 생성하는 “TrashPanda” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 시스템 복원을 무력화한다.

 

[그림 10] TrashPanda 랜섬웨어 랜섬노트

 

Xorist

파일명에 “.PrOToN” 확장자를 추가하고 [그림 11]과 [그림 12] 같은 랜섬노트를 생성하는 “Xorist” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕화면과 암호화한 파일의 아이콘을 변경한다.

 

- Xorist 랜섬웨어 랜섬노트 : HOW TO DECRYPT FILES.txt

 

[그림 11] Xorist 랜섬웨어 랜섬노트 - TXT

 

- Xorist 랜섬웨어 랜섬노트 : 팝업 창

 

[그림 12] Xorist 랜섬웨어 랜섬노트 팝업 창

 

Invader

파일명에 “.invader” 확장자를 추가하고 바탕화면을 변경하는 “Invader” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 원본 샘플을 자가 삭제한다.

 

[그림 13] Invader 랜섬웨어 바탕화면

 

NoEscape

파일명에 “.[랜덤 문자열]” 확장자를 추가하고 “HOW_TO_RECOVER_FILES.txt”라는 랜섬노트를 생성하는 “NoEscape” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 바탕화면을 변경한다.

 

[그림 14] NoEscape 랜섬웨어 랜섬노트

 

MedusaLocker

파일명에 “.deadnet26” 확장자를 추가하고 “How_TO_BACK_FILES.html”라는 랜섬노트를 생성하는 “MedusaLocker” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 15] MedusaLocker 랜섬웨어 랜섬노트

 

9월

Phobos

파일명에 “.id[사용자 ID].[공격자 이메일].s4b” 확장자를 추가하고 [그림 16]과 [그림 17]의 랜섬노트를 생성하는 “Phobos” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 방화벽을 중지시키고 시스템 복원을 무력화한다.

 

- Phobos 랜섬웨어 랜섬노트 : info.txt

[그림 16] Phobos 랜섬웨어 랜섬노트 - TXT

 

- Phobos 랜섬웨어 랜섬노트 : info.hta

 

[그림 17] Phobos 랜섬웨어 랜섬노트 - HTA

 

Elibe

파일명에 “.EMAIL=[공격자 이메일]ID=[사용자 ID].elibe” 확장자를 추가하고 “FILE ENCRYPTED.txt”라는 랜섬노트를 생성하는 “Elibe” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 18] Elibe 랜섬웨어 랜섬노트

 

Eldritch

파일명에 “.eldritch” 확장자를 추가하고 “READ-THIS.txt”라는 랜섬노트를 생성하는 “Eldritch” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면을 변경하고 자동 실행을 등록해 지속성을 확보한다.

 

[그림 19] Eldritch 랜섬웨어 랜섬노트

 

NightCrow

파일명에 “.NIGHT_CROW” 확장자를 추가하고 “NIGHT_CROW_RECOVERY.txt”라는 랜섬노트를 생성하는 “NightCrow” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 바탕화면을 변경한다.

 

[그림 20] NightCrow 랜섬웨어 랜섬노트

 

10월

PepeCry

파일명에 “.Cry” 확장자를 추가하고 팝업 창으로 랜섬노트를 표시하는 “PepeCry” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 파일을 암호화하는 동시에 복호화 키를 생성하며 실제로 생성된 키를 이용해 파일을 복구할 수 있다.

 

[그림 21] PepeCry 랜섬웨어 랜섬노트

 

Nigra

파일명에 “.[사용자 ID].[공격자 이메일].nigra” 확장자를 추가하고 “README_WARNING.txt”라는 랜섬노트를 생성하는 “Nigra” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 원본 샘플을 자가 삭제한다.

 

[그림 22] Nigra 랜섬웨어 랜섬노트

 

KeyLock

파일명에 “.keylock” 확장자를 추가하고 “README-id-[사용자 ID].txt”라는 랜섬노트를 생성하는 “KeyLock” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 자동 실행을 등록해 지속성을 확보한다.

 

[그림 23] KeyLock 랜섬웨어 랜섬노트

 

MadCat

파일명에 “.[4자리 랜덤 문자열]” 확장자를 추가하고 “HACKED.TXT”라는 랜섬노트를 생성하는 “MadCat” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 바탕화면을 변경한다.

 

[그림 24] MadCat 랜섬웨어 랜섬노트

 

11월

BlackHatUp          

파일명에 “.BlackHatUP”을 추가하고 “read_it.txt”라는 랜섬노트를 생성하는 “BlackHatUp” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 바탕화면을 변경한다.

 

[그림 25] BlackHatUp 랜섬웨어 랜섬노트

 

WannaDie

파일명에 “.[4자리 랜덤 문자열]” 확장자를 추가하고 “info[6자리 랜덤 문자열].txt”라는 랜섬노트를 생성하는 “WannaDie” 랜섬웨어 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 자동 실행을 등록해 지속성을 확보하며 바탕화면을 변경한다.

 

[그림 26] WannaDie 랜섬웨어 랜섬노트

 

GlobeImposter

파일명에 “.Pig865qq” 확장자를 추가하고 “HOW TO BACK YOUR FILES.exe”라는 랜섬노트를 생성하는 “GlobeImposter” 랜섬웨어 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 SQL 관련 프로세스를 강제 종료한다.

 

[그림 27] GlobeImposter 랜섬웨어 랜섬노트

 

Messec

파일명에 “.messec” 확장자를 추가하고 “READ_ME.txt”라는 랜섬노트를 생성하는 “Messec” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 바탕화면을 변경한다.

 

[그림 28] Messec 랜섬웨어 랜섬노트

 

Chaos

파일명에 “.MuskOff” 확장자를 추가하고 “read_it.txt”라는 랜섬노트를 생성하는 “Chaos” 랜섬웨어 변종이 발견됐다. 해당 랜섬웨어는 이벤트 로그를 삭제하고 시스템 복원을 무력화한다.

 

[그림 29] Chaos 랜섬웨어 랜섬노트

 

12월

RaWorld

파일명에 “.RAWLD” 확장자를 추가하고 “Data breach warning.txt”라는 랜섬노트를 생성하는 “RaWorld” 랜섬웨어가 발견됐다. 해당 랜섬웨어를 실행하면 윈도우 업데이트 후 재부팅한다.

 

[그림 30] RaWorld 랜섬웨어 랜섬노트

 

Hydra

파일명을 “[공격자 이메일][사용자 ID]파일명.HYDRA” 로 바꾸고 [그림 31]과 [그림 32] 같은 랜섬노트를 생성하는 “Hydra” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 원본 샘플을 자가 삭제한다.

 

- Hydra 랜섬웨어 랜섬노트 : [사용자 ID].txt

 

[그림 31] Hydra 랜섬웨어 랜섬노트 1

 

- Hydra 랜섬웨어 랜섬노트 : #FILESENCRYPTED.txt

[그림 32] Hydra 랜섬웨어 랜섬노트 2

 

BO

파일명에 “.bot” 확장자를 추가하고 “How To Restore Your Files.txt”라는 랜섬노트를 생성하는 “BO” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 33] BO 랜섬웨어 랜섬노트

 

Tisak

파일명에 “.Tisak” 확장자를 추가하고 “Tisak_Help.txt”라는 랜섬노트를 생성하는 “Tisak” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 윈도우 디펜더(Windows Defender)를 무력화하고 원본 샘플을 자가 삭제한다.

 

[그림 34] Tisak 랜섬웨어 랜섬노트