TFlower 랜섬웨어 – 기업을 노리는 최신 공격

TFlower Ransomware - The Latest Attack Targeting Businesses

해커들이 노출된 원격 데스크톱 서비스를 해킹한 후 기업 환경을 노리는 최신 랜섬웨어인 TFlower를 설치하고 있는 것으로 나타났습니다.

랜섬웨어 개발자들이 기업과 정부 기관을 공격한 사례에서 막대한 돈을 벌었기 때문에 이를 타깃으로 하는 새로운 랜섬웨어가 개발된 것입니다.

8월 초 해커들은 TFlower 랜섬웨어를 실제 공격에 사용했습니다.

당시에는 보통의 랜섬웨어인 것으로 추측되었으나, 사고 대응을 진행했던 한 업체는 TFlower가 더욱 강해지고 있다고 밝혔습니다.

RDP를 통한 접근

해커들은 노출된 원격 데스크톱 서비스를 해킹하여 기업 네트워크에 TFlower를 설치하고 있었습니다.

기기 침투에 성공하면, 로컬 머신을 감염시키거나 PowerShell Empire, PSExec와 같은 툴을 통해 네트워크 탐색을 시도합니다.

랜섬웨어가 실행되면 컴퓨터를 암호화하는 동안 랜섬웨어가 수행하는 활동을 보여주는 콘솔이 표시됩니다.

[그림 1] TFlower 콘솔

<이미지 출처: https://www.bleepingcomputer.com/news/security/tflower-ransomware-the-latest-attack-targeting-businesses/>

그 후 C&C 서버에 다시 연결해 컴퓨터 암호화가 시작되었다고 알립니다. 

발견된 샘플들 중 하나는 해킹된 워드프레스 사이트에 C&C 서버를 두고 있었으며 아래의 URL을 사용 중이었습니다.

https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start

이후 섀도우 볼륨 복사본을 삭제하고 윈도우 10 복구 환경을 비활성화하는 명령을 실행합니다.

※ Windows 10 복구 환경 비활성화 명령 목록

vssadmin.exe delete shadows /all /quiet

bcdedit.exe /set {default} recoveryenabled no

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

bcdedit.exe /set {current} recoveryenabled no

bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures

또한 데이터 파일을 암호화하기 위해 Outlook.exe 프로세스를 찾아 종료합니다.

[그림 2] outlook.exe 프로세스 종료

<이미지 출처: https://www.bleepingcomputer.com/news/security/tflower-ransomware-the-latest-attack-targeting-businesses/>

이후 Windows, Sample Music 폴더 내 파일을 제외하고 컴퓨터의 데이터를 암호화합니다.

파일을 암호화할 때 특이한 확장자를 추가하지는 않지만, *tflower 표시를 암호화된 파일의 맨 앞에 붙입니다.

[그림 3] 암호화된 TFlower 파일

<이미지 출처: https://www.bleepingcomputer.com/news/security/tflower-ransomware-the-latest-attack-targeting-businesses/>

컴퓨터 암호화가 완료되면, C&C에 아래와 같은 형태로 상태 업데이트를 보냅니다.

https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=success%20[encrypted_file_count],%20retry%20[retried_file_count]

그리고 컴퓨터 전체와 바탕화면에 "!_Notice_!.txt"라는 랜섬노트를 생성합니다.

이 랜섬노트는 피해자들이 돈을 지불하는 방법을 안내받기 위해 flower.harris@protonmail.com 또는 flower.harris@tutanota.com로 연락하라는 내용이 포함되어 있습니다.

[그림 4] TFlower 랜섬노트

<이미지 출처: https://www.bleepingcomputer.com/news/security/tflower-ransomware-the-latest-attack-targeting-businesses/>

TFlower의 랜섬금액이 얼마로 책정되어 있는지는 아직까지 밝혀지지 않았습니다.

또한, TFlower는 아직 연구 중이며 파일을 무료로 복호화 할 수 있는 방법이 알려져 있지 않은 상황입니다.

현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.TFlower'으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/tflower-ransomware-the-latest-attack-targeting-businesses/