Magniber 랜섬웨어, 한국에서 다른 아시아 국가들로 확산 돼

Magniber Ransomware Expands From South Korea to Target Other Asian Countries

지난 9 개월동안 한국의 사용자만을 공격해온 Magniber 랜섬웨어가 타겟 범위를 확장시켜 중국어(마카오, 중국, 싱가포르) 및 말레이어(말레이시아, 브루나이)로 설정 된 PC 사용자들도 감염시키는 것으로 나타났습니다. 이 변화는 7월 5일 발견 되었습니다.

Magniber 랜섬웨어는 한국에 거주하는 사용자들의 파일만 암호화시켜 왔습니다. 하지만 한국의 사용자들이 해외 여행을 하거나 한국 IP로 프록시를 사용하며 종종 감염 되는 경우도 있었습니다.

과거에 보안 연구원들이 적은 수의 피해자들을 목격한 후, Magniber가 다른 국가로 확대 되었다고 잘못 경고한 사례도 있었습니다.

한국 밖으로 확산 된 것으로 확인 돼

하지만 이번에는 사실인 것으로 보입니다. Malwarebytes의 연구원들이 최근 이 랜섬웨어의 바이너리 및 배포방식에서 중요한 변화를 발견했습니다.

연구원들은 Magniber 코드에 한국인 외에 다른 사용자를 노리는 새로운 타겟 시스템이 추가 되었다고 밝혔습니다. 게다가, 전체적인 코드의 질이 더욱 좋아졌습니다.

“소스 코드는 더욱 세련되어졌습니다. 이제 다양한 난독화 기술을 사용하며 암호화 루틴을 위해 C&C서버나 하드코딩 된 키에 더 이상 의존하지 않습니다.”

Magnitude EK도 변경 돼

이러한 변화에 대한 이유는 알려지지 않았지만, 이는 지난 9개월 동안 Magniber 감염의 유일한 소스였던 Magnitude 익스플로잇 키트에도 영향을 미쳤습니다.

Magniber 이전, 이 익스플로잇 키트는 전 세계 사용자들을 노리는 Cerber 랜섬웨어를 배포했습니다.

새로운 Magniber 캠페인, 예전 IE 제로데이 사용 해

Malwarebytes에 따르면, 이 새로운 Magnitude 익스플로잇 키트 캠페인은 4월에 발견 되어 5월에 패치 된 인터넷 익스플로러 제로데이를 사용했습니다.

익스플로잇 키트를 사용한 공격은 최신 브라우저를 사용한 공격보다는 성공적이지 못합니다. 사용자들은 해당 브라우저를 제외한 최신 버전의 다른 브라우저를 사용하면 이 공격으로부터 보호받을 수 있습니다.

이 최신 Magniber 버전으로 파일이 암호화 될 경우, 파일명의 끝에 “.dyaaghemy” 확장자가 붙습니다. 아직까지 Magniber 랜섬웨어로 암호화 된 파일을 복구하는 방법은 알려지지 않았습니다.

알약에서는 현재 해당 랜섬웨어에 대해 Trojan.Ransom.Magniber로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/magniber-ransomware-expands-from-south-korea-to-target-other-asian-countries/

https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/