포스팅 내용

국내외 보안동향

Shade 랜섬웨어, 미국으로 타깃 확장

Shade Ransomware Expands to U.S. Targets


러시아 사용자들을 노리는 것으로 알려진 Shade 랜섬웨어가 미국, 일본을 포함한 새로운 지역을 노리는 것으로 최근 여러 캠페인에서 발견되었습니다.


카스퍼스키랩 연구소가 2014년 후반에 처음으로 발견한 이 랜섬웨어는 러시아 사용자들만을 노리는 것으로 알려졌었습니다. 


하지만 최근 발견된 사이버 공격에서 Shade 랜섬웨어는 러시아가 아닌 다른 국가의 사용자를 노리고 있었습니다.


Palo Alto Networks Unit 42그룹의 연구원인 Brad Duncan은 Shade 랜섬웨어에 영향을 받은 상위 국가 5곳은 러시아나 구 소련 국가가 아니라고 밝혔습니다.


그러면서 Shade 랜섬웨어에 영향을 받은 상위 TOP 5 국가는 미국, 일본, 인도, 태국 및 캐나다라고 언급했습니다.


또한 러시아는 7위에 머물렀으며, 러시아어를 사용하는 국가들 중 카자흐스탄이 10위를 기록했습니다. 


가장 많이 공격을 받은 산업 분야는 하이테크, 도매, 및 교육이었습니다.


Shade 랜섬웨어 캠페인


Shade 랜섬웨어는 악성 스팸 이메일을 통해 배포되었습니다. 


2019년 2월 발생한 캠페인을 예로 들면, 이메일은 아카이브 파일로 연결되는 링크 또는 아카이브 파일을 첨부하고 있거나, 아카이브로의 링크를 포함하며 인보이스 또는 고지서로 위장한 PDF 파일을 첨부하고 있었습니다.


이 링크와 첨부파일들은 Shade 랜섬웨어의 실행 파일을 받아오도록 설계된 자바스크립트 또는 기타 스크립트 기반 파일로 연결되었습니다.


<이미지 출처: https://unit42.paloaltonetworks.com/shade-ransomware-hits-high-tech-wholesale-education-sectors-in-u-s-japan-india-thailand-canada/>

 

흥미롭게도, 연구원들은 페이로드가 2014년 발견된 이래로 "매우 일관적"이었다고 밝혔습니다.


윈도우 호스트가 Shade 랜섬웨어에 감염되면, 데스크탑 배경화면이 감염 문구로 변경되며, README1.txt ~ README10.txt 파일명의 텍스트 파일 10개가 데스크탑에 생성됩니다.


데스크탑 화면에는 디스크의 모든 중요한 파일이 암호화되었으며, 자세한 내용은 README.txt 파일을 찾아 확인하라는 내용이 있습니다.


모든 README.txt 파일은 같은 내용을 이야기하고 있었습니다. 사용자에게 특정 이메일 주소로 코드를 보내면 어떻게 돈을 지불하는지 알려주겠다는 내용입니다.


새로운 타깃


최근 악성 Shade 이메일들은 러시아가 아닌 다른 국가로 전송되고 있으며, 이를 통해 감염 국가를 확장하려는 시도를 추측할 수 있습니다.


연구원들은 2019년 1월~3월 동안 Shade 랜섬웨어의 감염 체인 내, 실행 파일의 전달 시도를 추적하는 심층 연구를 진행했습니다.


이들은 TCP 포트 80을 통해 URL로 전달되는 PE 파일에 특히 집중했습니다.


연구원들은 시스템에 Shade를 감염시키려는 시도가 가장 많았던 국가가 미국이라는 것을 발견했습니다.


연구원은 Palo Alto의 고객을 기반으로 데이터를 수집하였기 때문에, 연구 결과가 영어를 사용하는 국가로 나타나도록 왜곡될 수 있다는 점을 인정했습니다.


하지만 여전히 연구 결과는 Shade 랜섬웨어가 러시아 이외의 다른 국가에서 매우 활동적이며, 러시아 사용자보다 더 많은 영어권 사용자를 노리는 것으로 추측한다고 밝혔습니다.


현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Shade으로 탐지 중에 있습니다.




출처:

https://threatpost.com/shade-ransomware-expands-us/145020/

https://unit42.paloaltonetworks.com/shade-ransomware-hits-high-tech-wholesale-education-sectors-in-u-s-japan-india-thailand-canada/



티스토리 방명록 작성
name password homepage