상세 컨텐츠

본문 제목

서버와 웹사이트를 공격하는 Lilocked 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2019. 9. 9. 11:37

본문

Lilocked Ransomware Actively Targeting Servers and Web Sites


서버를 공격하고, 저장된 데이터를 암호화하는 새로운 랜섬웨어가 발견되었습니다. 


이 랜섬웨어를 두고 개발자들은 Lilu로, 연구원들은 Lilocked라 이름 붙였습니다.


확인된 감염 서버들은 모두 웹사이트로 구글 검색 결과에 암호화된 파일이 노출되고 있습니다.


이 랜섬웨어는 지난 7월 26일 보안 연구원인 Michael Gillespie가 ID Ransomware 사이트에 올라온 샘플을 확인하면서 발견되었습니다.


또 다른 보안 연구원인 Benkow는 해당 랜섬웨어를 발견하고 트위터에 공개했습니다.


구글에서는 이 랜섬웨어로 암호화되고 ".lilocked" 확장자가 붙은 파일이 있는 웹 서버에 대한 검색 결과를 6천 건 이상을 보여주었습니다. 


이 결과들 중 대부분은 동일한 웹사이트에서 나왔습니다.

 


[그림 1] 감염된 서버를 보여주는 구글 검색 결과

<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>



또한 ID Ransomware의 등록 통계를 살펴본 결과 이 랜섬웨어의 감염 수는 적으나 꾸준히 발생하고 있었습니다.

 


[그림 2] ID 랜섬웨어의 Lilocked 파일 등록 통계

<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>



Lilu가 웹 서버만을 노리는지는 알 수 없지만, ID Ransomware에 등록된 파일들 중 대부분은 웹 사이트와 관련된 파일이었습니다. 


확인 결과 WordPress, Magento나 기타 자주 해킹되는 CMS 사이트와 같은 패턴은 아닌 것으로 보입니다.


접근 권한 획득을 위해 익스플로잇을 사용하는 것으로 추측돼


한 사용자는 공격자가 Exim 익스플로잇을 통해 공격자가 웹 서버에 접근할 수 있었다고 제보했습니다.


또 다른 피해자는 WordPress의 오래된 버전을 설치해 감염된 것으로 보인다고도 밝혔습니다.

 


<이미지 출처: https://twitter.com/maztec/status/1158250770187182080>



Lilocked 암호화 프로세스 


컴퓨터가 Lilocked(Lilu) 랜섬웨어에 감염되면, 파일을 암호화한 후 ".lilocked" 확장자를 붙입니다. 


예를 들어 apple-icon.png가 암호화되면 apple-icon.png.lilocked로 이름이 변경됩니다.


Lilocked는 암호화된 각 폴더에 #README.lilocked라는 랜섬노트를 남깁니다.



[그림 3] 암호화된 서버 검색 결과

<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>



랜섬노트에는 피해자에게 파일이 암호화되었으며, 랜섬머니를 지불하려면 공격자의 Tor 지불 사이트를 방문해야 한다고 요구합니다.



[그림 4] Lilu 랜섬 노트

<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>



피해자가 해당 Tor 지불 사이트를 방문하면 랜섬노트의 키를 입력하는 란을 확인할 수 있습니다.



[그림 5] lilu Tor 지불 사이트 로그인 화면

<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>


랜섬노트에 적힌 키를 입력하면 랜섬머니를 지불하는 방법이 표시됩니다. 여기에는 비트코인 주소와 0.010 BTC($100 상당)의 금액도 포함되었습니다.



[그림 6] 랜섬머니 지불에 대한 Lilu 지침

<이미지 출처: https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/>



현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Linux.Gen'으로 탐지중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/

관련글 더보기

댓글 영역