Lilocked Ransomware Actively Targeting Servers and Web Sites
서버를 공격하고, 저장된 데이터를 암호화하는 새로운 랜섬웨어가 발견되었습니다.
이 랜섬웨어를 두고 개발자들은 Lilu로, 연구원들은 Lilocked라 이름 붙였습니다.
확인된 감염 서버들은 모두 웹사이트로 구글 검색 결과에 암호화된 파일이 노출되고 있습니다.
이 랜섬웨어는 지난 7월 26일 보안 연구원인 Michael Gillespie가 ID Ransomware 사이트에 올라온 샘플을 확인하면서 발견되었습니다.
또 다른 보안 연구원인 Benkow는 해당 랜섬웨어를 발견하고 트위터에 공개했습니다.
구글에서는 이 랜섬웨어로 암호화되고 ".lilocked" 확장자가 붙은 파일이 있는 웹 서버에 대한 검색 결과를 6천 건 이상을 보여주었습니다.
이 결과들 중 대부분은 동일한 웹사이트에서 나왔습니다.
[그림 1] 감염된 서버를 보여주는 구글 검색 결과
<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>
또한 ID Ransomware의 등록 통계를 살펴본 결과 이 랜섬웨어의 감염 수는 적으나 꾸준히 발생하고 있었습니다.
[그림 2] ID 랜섬웨어의 Lilocked 파일 등록 통계
<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>
Lilu가 웹 서버만을 노리는지는 알 수 없지만, ID Ransomware에 등록된 파일들 중 대부분은 웹 사이트와 관련된 파일이었습니다.
확인 결과 WordPress, Magento나 기타 자주 해킹되는 CMS 사이트와 같은 패턴은 아닌 것으로 보입니다.
접근 권한 획득을 위해 익스플로잇을 사용하는 것으로 추측돼
한 사용자는 공격자가 Exim 익스플로잇을 통해 공격자가 웹 서버에 접근할 수 있었다고 제보했습니다.
또 다른 피해자는 WordPress의 오래된 버전을 설치해 감염된 것으로 보인다고도 밝혔습니다.
<이미지 출처: https://twitter.com/maztec/status/1158250770187182080>
Lilocked 암호화 프로세스
컴퓨터가 Lilocked(Lilu) 랜섬웨어에 감염되면, 파일을 암호화한 후 ".lilocked" 확장자를 붙입니다.
예를 들어 apple-icon.png가 암호화되면 apple-icon.png.lilocked로 이름이 변경됩니다.
Lilocked는 암호화된 각 폴더에 #README.lilocked라는 랜섬노트를 남깁니다.
[그림 3] 암호화된 서버 검색 결과
<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>
랜섬노트에는 피해자에게 파일이 암호화되었으며, 랜섬머니를 지불하려면 공격자의 Tor 지불 사이트를 방문해야 한다고 요구합니다.
[그림 4] Lilu 랜섬 노트
<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>
피해자가 해당 Tor 지불 사이트를 방문하면 랜섬노트의 키를 입력하는 란을 확인할 수 있습니다.
[그림 5] lilu Tor 지불 사이트 로그인 화면
<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>
랜섬노트에 적힌 키를 입력하면 랜섬머니를 지불하는 방법이 표시됩니다. 여기에는 비트코인 주소와 0.010 BTC($100 상당)의 금액도 포함되었습니다.
[그림 6] 랜섬머니 지불에 대한 Lilu 지침
<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>
현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Linux.Gen'으로 탐지중에 있습니다.
출처:
D-Link와 Comba WiFi 라우터 일부, 비밀번호 평문 상태로 유출해 (0) | 2019.09.11 |
---|---|
은밀히 데이터를 추출하기 위해 윈도우 BITS 서비스를 사용하는 악성코드 발견 (0) | 2019.09.10 |
이메일 서버, Exim TLS 결함으로 원격 'Root' 코드 실행 공격에 노출돼 (0) | 2019.09.09 |
악명 높은 JSWorm 랜섬웨어 4번째 버전 발견돼 (0) | 2019.09.06 |
최신 안드로이드 모바일을 노리는 SMS 피싱 공격 발견 (0) | 2019.09.05 |
댓글 영역