해킹된 RDP을 통해 배포되는 것으로 추정되는 새로운 Nemty 랜섬웨어

New Nemty Ransomware May Spread via Compromised RDP Connections

러시아 대통령과 안티바이러스 소프트웨어를 언급하는 새로운 랜섬웨어가 발견되었습니다. 연구원들은 이를 Nemty라 명명했습니다.

해당 이름은 암호화 프로세스 후 파일에 추가되는 확장자에서 이름을 따왔으며, 발견된 샘플은 Nemty 랜섬웨어의 첫 번째 버전입니다.

요구하는 랜섬 머니

다른 파일 암호화 악성코드처럼, Nemty 랜섬웨어 또한 섀도우 복사본을 제거하여 피해자가 파일을 복구할 수 없게 만들어 버립니다.

피해자는 암호화된 데이터를 복구하기 위한 복호화 키가 공격자 손에 있으며, 랜섬머니를 지불하면 데이터를 복구할 수 있다는 메시지를 확인하게 됩니다.

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/>

랜섬웨어 테스트 결과 요구하는 랜섬머니는 0.00981BTC였으며, 이는 현재 기준 약 $1,000 상당의 가치입니다.

지불 포털은 익명성을 위해 Tor 네트워크에 호스팅 되며, 사용자는 구성 파일을 업로드해야합니다.

공격자는 채팅 기능을 제공하고 더 많은 정보를 포함하고 있는 또 다른 웹사이트 링크도 제공합니다.

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/>

코드 내 포함된 메시지

보안 연구원인 Vitali Kremez는 이 악성코드를 면밀히 분석했으며, 특이한 이름을 사용하는 뮤텍스 오브젝트를 발견했습니다. 

아래 그림에서 볼 수 있듯, 연구원은 해당 뮤텍스 오브젝트를 "hate"라 명명했습니다.

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/>

Mutex 오브젝트는 프로그램이 한번 실행할 때, 스레드(thread) 하나에만 액세스하도록 만들어 리소스를 제어하는 플래그입니다.

Kremez는 Nemty 코드에서 또 다른 특이점을 발견했습니다. 

여기에는 "I added you to the list of [insult], but only with pencil for now.(당신도 악성코드 감염자 목록에 추가되었다. 지금은 일단 기록만 해두었다.)"라는 주석이 발견되었습니다.

또한 블라디미르 푸틴의 사진으로 연결되는 링크 및 바이러스 백신 업계에 대한 메시지도 발견되었습니다.

처음에는, 코드 내 참조가 그저 이상하게만 보였지만 다시 조사한 결과 base64 문자열을 복호화하고 URL을 생성하기 위한 키였으며 백신 업계를 향한 직접적인 메시지였던 것으로 밝혀졌습니다.

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/>

또 다른 흥미로운 점은, Nemty가 러시아, 벨라루스, 카자흐스탄, 타지키스탄 및 우크라이나의 컴퓨터를 식별하기 위한 확인 작업을 수행한다는 것입니다. 

하지만 연구원은 이 국가들을 암호화 루틴에서 해당 국가를 제외하기 위한 작업은 아니라고 밝혔습니다.

악성코드 내 "isRU" 확인 코드는 위 5개 국가의 시스템을 단순히 표시만 하며, 공격자에게 컴퓨터 이름, 사용자 이름, OS, 컴퓨터 ID를 포함하는 데이터를 전송합니다.

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/>

Nemty가 어떻게 배포되었는지는 확실하지 않지만, Kremez는 이 악성코드가 해킹된 원격 데스크톱을 통해 배포된다고 밝혔습니다.

일반적으로 사용되는 피싱 메일과 비교했을 때, RDP 연결을 활용하면 공격자는 피해자가 피싱 메일에 속는 것을 기다리지 않아도 된다는 이점이 있습니다.

Kremez는 Nemty에 대한 더 많은 정보를 포함한 연구 노트를 공개했습니다.

현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Nemty'으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/

https://raw.githubusercontent.com/k-vitali/Malware-Misc-RE/master/2019-08-24-nemty-ransomware-notes.vk.raw