Rig 익스플로잇 키트, 드라이브 바이 다운로드 통해 ERIS 랜섬웨어 유포

Rig Exploit Kit Pushing Eris Ransomware in Drive-by Downloads

RIG 익스플로잇 키트가 새로운 ERIS 랜섬웨어를 배포하고 있는 것으로 드러났습니다. 

피해자들은 단순히 웹사이트를 방문하는 것만으로 자신도 모르는 사이 ERIS 랜섬웨어가 시스템에 설치될 수 있습니다.

※ Drive-by download(드라이브 바이 다운로드) 기법이란?

사용자가 이메일에 포함된 URL 주소를 클릭하거나 특정 웹사이트에 접속하였을 때, 사용자도 모르게 악성 소프트웨어가 사용자의 디바이스에 다운로드 되도록 만드는 해킹 기법

ERIS 랜섬웨어는 2019년 ID Ransomware 사이트에 등록되어 발견되었지만, 당시 샘플은 구할 수 없었습니다. 

지난 주말, 익스플로잇 키트 연구원인 nao_sec은 RIG 익스플로잇을 사용하는 멀버타이징 캠페인을 통해 이 랜섬웨어가 배포되고 있는 것을 발견하였습니다.

 

<이미지 출처: https://twitter.com/nao_sec/status/1147831061004423168>

Nao_sec에 따르면, popcash 광고 네트워크를 사용하는 이 악성 광고 캠페인은 사용자들을 RIG 익스플로잇 키트로 리디렉션하고 있었습니다.

[그림 1] popcash 멀버타이징 캠페인

<이미지 출처: https://twitter.com/nao_sec/status/1147831061004423168>

연구원들은 사용자가 익스플로잇으로 이동되면 브라우저의 Shockwave(SWF) 취약점을 악용하려 시도한다고 밝혔습니다. 

공격자가 SWF 취약점 악용에 성공할 경우, 사용자 컴퓨터에 자동으로 ERIS 랜섬웨어를 다운로드 및 설치합니다.

ERIS 랜섬웨어

ERIS 랜섬웨어가 설치되면, 피해자의 파일을 암호화 후 아래와 같이 .ERIS 확장자를 붙입니다.

[그림 2] ERIS로 암호화된 파일

<이미지 출처: https://www.bleepingcomputer.com/news/security/rig-exploit-kit-pushing-eris-ransomware-in-drive-by-downloads/>

각각의 암호화된 파일은 파일 끝부분에 _FLAG_ENCRYPTED_라는 마크가 들어가 랜섬웨어로 파일이 암호화되었음을 표시합니다.

 

[그림 3] FLAG_ENCRYPTED_ 파일 마커

<이미지 출처: https://www.bleepingcomputer.com/news/security/rig-exploit-kit-pushing-eris-ransomware-in-drive-by-downloads/>

스캔 한 모든 폴더에 @ READ ME TO RECOVER FILES @.txt라는 이름의 랜섬노트를 생성합니다. 

랜섬 노트에는 지불 관련 지침을 얻기 위해 Limaooo@cock.li로 연락하도록 지시하는 내용 및 피해자의 고유 ID가 포함되어 있습니다. 

개발자에게 연락하면 파일 하나에 대한 무료 복호화 테스트를 받을 수 있습니다.

 

[그림 4] ERIS 랜섬 노트

<이미지 출처: https://www.bleepingcomputer.com/news/security/rig-exploit-kit-pushing-eris-ransomware-in-drive-by-downloads/>

현재 ERIS로 암호화된 파일을 무료로 복호화 할 수 있는 방법은 없습니다.

현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Filecoder'으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/rig-exploit-kit-pushing-eris-ransomware-in-drive-by-downloads/