안티 분석 기능을 구현한 저렴한 서비스형 랜섬웨어 발견, Karmen 랜섬웨어

안티 분석 기능을 구현한 저렴한 서비스형 랜섬웨어 발견, Karmen 랜섬웨어

Karmen Ransomware, a cheap RaaS service that implements anti-analysis features

Recorded Future의 전문가들이 저렴한 서비스형 랜섬웨어(RaaS)인 'Karmen 랜섬웨어'를 발견했습니다. 

이 서비스를 구매하면 특정한 기술 없이 손쉽게 랜섬웨어를 생성할 수 있습니다. 구매자들은 감염된 시스템의 수, 벌어들인 수익, 악성코드의 업데이트 등을 확인할 수 있도록 구현된 대시보드 내 "Clients" 탭을 통해 감염된 시스템을 추적할 수 있습니다. Karmen RaaS는 $175로 매우 저렴하며, 구매자들은 랜섬머니의 가격과 랜섬머니 지불 기간을 설정할 수 있습니다. 

Karmen 랜섬웨어는 2015년 8월 터키의 보안연구원이 교육용으로 공개한 오픈소스 랜섬웨어를 기반으로 합니다. 

첫번째 Karmen 랜섬웨어는 2016년 12월에 보고되었으며, 독일과 미국의 기기에 감염되었습니다. Karmen 랜섬웨어는 다중 스레트, 다중 언어 랜섬웨어로, .NET 4.0을 지원하고 AES-256 암호화 표준을 사용합니다. 이 랜섬웨어는 .NET에 의존하며, PHP5.6과 MySQL이 필요합니다. 

Recorded furture는  “2017년 3월 4일, 최상위 계층의 사이버 범죄 커뮤니티의 멤버인 “Dereck1”이 새로운 랜섬웨어 변종인 “KArmen”에 대해 언급했다. 추가적인 조사를 통해 러시아어를 사용하는 사이버 범죄자인 “DevBitox”가 2017년 3월 언더그라운드 포럼의 Karmen 악성코드의 판매자였다는 것이 밝혀졌다.” “그러나, Karmen의 첫 번째 감염 사례는 2016년 12월 독일과 미국의 피해자들로부터 이미 보고 되었다.”고 설명했습니다. 

이 랜섬웨어는 기기를 감염시킨 후, 결제 방법이 포함된 랜섬노트를 표시합니다. Karmen은 다른 랜섬웨어들과는 달리, 샌드박스 환경이나 기타 분석 소프트웨어가 탐지될 경우 자동으로 복호화 툴을 삭제합니다. 

DevBitox가 제공한 이 랜섬웨어의 기능은 아래와 같습니다:

멀티 스레드

다중 언어

.NET 4.0 및 이후 버전 지원

암호화 알고리즘: AES-256

조정 가능한 어드민 패널

모든 디스크 및 파일 암호화

각 피해자마다 분리 된 비트코인 지갑 사용

작은 사이즈

로더 자동 삭제

멀웨어 자동 삭제 (돈이 지불 되었을 경우)

제어 서버와 연결 최소화

강력한 제어판

돈이 지불된 후 자동 파일 복호화

T2W 호환

파일 확장자는 동일하게 유지 됨

안티 디버거/분석기/가상머신/샌드박스 탐지

피해자의 컴퓨터 환경에서 샌드박스 환경이 탐지될 경우 복호화 툴 자동 삭제

Karmen은 라이트버전과 풀버전으로 나누어져 있습니다. 라이트 버전은 난독화 및 오토로더만 포함, 풀 버전은 분석 소프트웨어 탐지기능이 포함되어 있습니다. 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Karmen로 탐지하고 있습니다. 

출처 : 

http://securityaffairs.co/wordpress/58114/malware/karmen-ransomware-raas.html

https://www.recordedfuture.com/karmen-ransomware-variant/