리눅스 서버를 감염시키는 B0r0nt0K 랜섬웨어, $75,000 요구해

B0r0nt0K Ransomware Wants $75,000 Ransom, Infects Linux Servers

B0r0nt0K이라는 신종 랜섬웨어가 피해자의 웹사이트를 암호화 시키고 20 비트코인(약 $75,000상당)을 요구하고 있습니다. 

이 랜섬웨어는 리눅스 서버를 감염시키는 것으로 알려졌으나, 윈도우 사용자들을 암호화할 수 있을 가능성도 있는 것으로 나타났습니다.

BleepingComputer 포럼의 한 사용자는 고객의 웹사이트가 신종 B0r0nt0K 랜섬웨어에 감염되었다고 제보했습니다. 

이 암호화된 웹 사이트는 우분투 16.04에서 실행되고 있었으며, 모든 파일이 암호화되고, 이름이 변경되고 .rontok 확장자가 붙었습니다.

이 랜섬웨어의 샘플은 아직까지 발견 되지 않아, 등록된 파일들 및 지불 사이트를 분석한 것 외에 다른 정보는 알려지지 않은 상태입니다.

보안 연구원인 Michael Gillespie에 따르면, B0r0nt0K은 base64를 사용해 데이터를 암호화합니다.

[그림1] base64로 암호화 된 파일

<이미지 출처: https://www.bleepingcomputer.com/news/security/b0r0nt0k-ransomware-wants-75-000-ransom-infects-linux-servers/>

파일 명은 암호화되고, base64로 인코딩 되며, url로 인코딩 되어 마침내 새 파일명에 .rontok 확장자가 붙는 형식으로 변경됩니다. 

암호화된 파일 명의 예는 zmAAwbbilFw69b7ag4G4bQ%3D%3D.rontok와 같습니다.

피해자는 랜섬노트를 제공할 수 없는 상태였으며, 지불 사이트의 주소는 https://borontok.uk/이라고만 밝혔습니다. 이 페이지를 방문하면 사용자는 개인 ID 입력이 요구됩니다.

[그림2] https://borontok.uk/ 지불 사이트

<이미지 출처: https://www.bleepingcomputer.com/news/security/b0r0nt0k-ransomware-wants-75-000-ransom-infects-linux-servers/>

ID가 입력되면, 사용자는 랜섬 머니 금액, 비트코인 지갑 주소, 개발자들에게 연락할 수 있는 이메일인 info@botontok.uk 등의 정보가 포함된 지불 페이지로 이동됩니다. 

해당 피해자의 경우 랜섬머니는 20 비트코인이었으며 이는 약 $75,000였습니다. 개발자들은 가격을 할인해줄 의사가 있는 것으로 보였습니다.

[그림3] B0r0nt0K 랜섬웨어 지불 정보

<이미지 출처: https://www.bleepingcomputer.com/news/security/b0r0nt0k-ransomware-wants-75-000-ransom-infects-linux-servers/>

지불 사이트의 소스 코드를 분석 결과 Bleeping Computer는 “Vietnamese Hacker”라는 코멘트를 발견했습니다. 이로써 개발자가 베트남인이라고 추측할 수 있지만, 확실한 증거는 될 수 없습니다.

[그림4] 소스코드의 “Vietnamese Hacker” 코멘트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/b0r0nt0k-ransomware-wants-75-000-ransom-infects-linux-servers/>

연구원들은 더 많은 정보를 얻기 위해 이 랜섬웨어의 제작자에게 연락한 상태이지만, 아직까지 대답을 받지 못했습니다.

출처:

https://www.bleepingcomputer.com/news/security/b0r0nt0k-ransomware-wants-75-000-ransom-infects-linux-servers/