Gorgon 랜섬웨어 주의!

FilesLocker病毒招募代理化身“蛇发女妖” 感染数家政企单位

중국의 보안 기업인 Tencent는 최근 중국에서 유포되고 있는 Gorgon 랜섬웨어에 대해 주의를 당부하였습니다. 

고르곤(Gorgon)은 그리스신화에 등장하는 세 명의 자매 괴물로, 머리카락이 수많은 뱀으로 이루어진 괴물을 지칭합니다. 

Tencent 분석 결과, Gorgon 랜섬웨어는 최근 중국에서 유포 중이며, 이미 많은 정부 및 기업들이 감염되었다고 밝혔습니다. 또한 Gorgon 악성코드는 FilesLocker 랜섬웨어에서 UI만 바뀐 것 같다고 말했습니다.

FilesLocker 랜섬웨어는 2018년 10월 처음 발견되었으며, 주로 정부부처 및 기관들을 타겟으로 공격을 진행하였습니다. 

이 랜섬웨어 등장 후 "대리"를 모집하여 조직화, 산업화를 꾀하였으며, 이번에 발견된 Gorgon 랜섬웨어는 그중 하나일 것으로 추정됩니다.

[그림1] Gorgon 랜섬웨어 이미지

이 악성코드를 분석한 결과, FilesLocker와 동일하게 office, 음악파일, 압축파일 등 자주 사용하는 확장자들을 암호화 시킵니다. 

또한 FilesLocker와 비교하였을 때, Gorgon 랜섬웨어는 UI 및 보안성이 많이 개선되었으며, 랜섬노트의 경우 기존의 .txt 확장자에서 .html 확장자로 변환되었고, 지원하는 언어 또한 기존의  중국어, 영어에서 중국어, 영어, 한국어 3가지 종류로 업데이트하였습니다.

[그림2] Gorgon 랜섬웨어 랜섬노트 이미지

그리고 Winlogon 시스템 로그인 항목을 추가하여 로그인 인터페이스에 랜섬웨어 정보를 노출시키는 기능도 추가하였습니다. 보안성 측면에서는 난독화 기능을 추가하여 분석 난이도를 높였습니다.

[그림3] Gorgon 랜섬웨어 정보 노출 이미지

한 보안 전문가는 이 랜섬웨어는 “Gorgon”이라는 이름에 주목하였는데, 그 이유는 파키스탄의 전문 해커조직 중 Gorgon Group의 이름과 동일한 그룹이 있기 때문입니다. 

이 조직은 주로 영국, 포루투갈, 러시아 등 해외 무역인사들을 대상으로 공격을 진행합니다. 그래서 보안 전문가들은  Gorgon 랜섬웨어와 Gorgon Group과 연관성이 있는지 확인하고 있습니다.

알약에서는 해당 랜섬웨어에 대해, Trojan.Ransom.Filecoder으로 탐지 중에 있습니다.

출처:

https://s.tencent.com/research/report/655.html