상세 컨텐츠

본문 제목

프라이버시를 보호 주장하는 RobbinHood 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2019. 4. 15. 10:04

본문

RobbinHood Ransomware Claims It's Protecting Your Privacy


현재 활동 중인 새로운 랜섬웨어 RobbinHood가 발견되었습니다. 


이 랜섬웨어는 네트워크 전체를 노리며 접근 가능한 모든 컴퓨터를 암호화시킵니다. 


이후 감염된 컴퓨터 한 대 또는 감염된 네트워크 전체의 암호화를 해제하는 조건으로 비트코인을 요구합니다.


현재 이 랜섬웨어에 대해 알려진 사실은 많지 않으며, RobbinHood의 샘플 또한 발견되지 않았습니다.


하지만 피해자들로부터 랜섬노트 및 암호화된 파일을 얻어, 이 랜섬웨어가 어떻게 작동하는지 추측할 수 있었습니다.


특이한 점은, 피해자의 프라이버시를 중요하게 생각하여 돈을 지불한 피해자가 누구인지 공개하지 않을 것이라고 강조한다는 점입니다.


RobbinHood 랜섬웨어 배후에 있는 공격자들은 활발하게 네트워크 접근을 시도 중인 것으로 보입니다. 


일단 접근 권한을 얻으면, 이들은 네트워크 상의 컴퓨터들을 최대한 많이 감염시키려고 시도합니다.


어떤 암호화 기법이 사용되는지는 아직까지 알려지지 않았습니다. 


암호화된 파일은 ‘Encrypted_b0a6c73e3e434b63.enc_robbinhood’와 유사한 이름으로 변경됩니다.


또한 이 랜섬웨어는 파일명이 다른 랜섬노트 4개를 동시에 피해자 PC에 생성합니다. 


이 랜섬노트의 이름은 _Decryption_ReadMe.html, _Decrypt_Files.html, _Help_Help_Help.html, _Help_Important.html 입니다.


[그림 1] RobbinHood 랜섬 노트 내용

<이미지 출처: https://www.bleepingcomputer.com/news/security/robbinhood-ransomware-claims-its-protecting-your-privacy/>

 

이 랜섬노트는 피해자의 파일에 무슨 일이 일어났는지, 랜섬 머니의 금액, 공격자에게 메시지를 보내거나 10MB 이하의 파일 3개를 무료로 복호화 해주는 TOR 사이트 링크를 포함하고 있습니다.


랜섬노트에 사용된 주소 3개는 아래와 같습니다:

http://xbt4titax4pzza6w.onion/

https://xbt4titax4pzza6w.onion.pet/

https://xbt4titax4pzza6w.onion.to/


이 랜섬웨어는 복호화를 위해 컴퓨터 한대 당 3 비트코인, 전체 네트워크 당 7 비트코인을 요구합니다.


또한 4일이 지나면 랜섬 머니는 하루에 $10,000씩 증가할 것이라고도 명시되어 있습니다.



피해자의 프라이버시를 중요하게 생각하는 RobbinHood


이 랜섬웨어의 Tor 페이지에는 피해자의 프라이버시를 중요하게 생각하며, 지불이 완료된 후 암호화 키 및 IP 주소는 삭제될 것이라고 명시돼 있습니다.


[그림 2] RobbinHood의 Tor 지불 사이트

<이미지 출처: https://www.bleepingcomputer.com/news/security/robbinhood-ransomware-claims-its-protecting-your-privacy/>


재미있는 사실은, 이 랜섬웨어는 피해자들에게 프라이버시를 중요하게 생각하고 있기 때문에 사고를 신고하지 않아도 된다고 말하고 있다는 점입니다.


미 노스캐롤라이나 주 그린빌시(City of Greenville), RobbinHood에 공격당해


[그림 3] 그린빌 시의 트위터 계정 화면

<이미지 출처: https://twitter.com/GreenvilleGov/status/1116089333767966725?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed&ref_url=http%3A%2F%2Fwcti12.com%2Fnews%2Flocal%2Fcity-of-greenville-says-it-was-hit-by-ransomware-virus>


노스캐롤라이나의 뉴스 채널 12에 따르면, 지난 수요일 그린빌(Greenville) 시는 RobbinHood 랜섬웨어에 공격당해 네트워크를 중단시켜야 했습니다.


이들은 해당 사건을 법 집행부에 신고했으며, 많은 기관들이 이 공격을 조사하고 있습니다.


하지만 RobbinHood 랜섬웨어에 피해를 입은 곳은 그린빌 시만이 아닙니다.


Bleeping Computer과 MalwareHunterTeam은 RobbinHood에 감염된 피해자들을 모니터링 해왔습니다. 


MalwareHunterTeam 측은 피해자 중 누구도 아직까지 랜섬머니를 지불하지 않았다고 밝혔습니다.



출처:

https://www.bleepingcomputer.com/news/security/robbinhood-ransomware-claims-its-protecting-your-privacy/

https://wcti12.com/news/local/city-of-greenville-says-it-was-hit-by-ransomware-virus 



관련글 더보기

댓글 영역