포스팅 내용

국내외 보안동향

RobbinHood 랜섬웨어, 피해자의 지불 유도를 위해 과거 사건 이용해

RobbinHood Ransomware Using Street Cred to Make Victims Pay


RobbinHoood 랜섬웨어 운영자들이 랜섬노트 언어를 변경함으로써 무료 복호화에 대한 가능성을 모두 제거하고 사용자에게 랜섬을 지불하도록 만들었습니다. 


그리고 해커들은 메시지를 통해 랜섬웨어에 감염된 후 랜섬머니 보다 비싼 비용을 치른 과거 사건들을 언급했습니다.



과거 사건 이용


해커들은 현재 RobbinHood 랜섬웨어에 구현된 암호화 체계에 대한 복호화 툴이 없다고 말했습니다.


특히 해커들의 개인 키와 소프트웨어 없이는 파일을 복구하는 것이 불가능하다는 점을 강조했습니다.


공격자는 피해자들에게 노스캐롤라이나 주 그린빌(Greenville) 시스템 감염 사건과, 볼티모어 시의 서버를 공격했던 RobbinHood 관련 사건 2건을 검색하도록 합니다.





볼티모어 시 공격의 경우 복구하는데 막대한 비용이 들어 해커들의 주장에 더욱 힘을 실어 주었습니다. 


감염된 모든 기기 내 데이터를 복구하는데 해커가 요구한 초기 랜섬 금액은 $76,000였으나, 관리자들이 직접 복구한 결과 460만 달러가 들었습니다.


하지만 복구가 아직 끝나지 않아 볼티모어 시는 연말까지 540만 달러를 추가로 지출할 것으로 예상하고 있습니다. 


여기에는 이 천만 달러의 비용에는 연체된 벌금, 재산세, 기타 수수료로 인한 잠재적 손실은 포함되지 않았습니다.


6월 CBS 볼티모어 보도에 따르면, 볼티모어 시는 해당 공격을 복구하는데 1,800 달러 이상을 투입했다고 전했습니다.


최근 뉴스에서는 행정부가 사이버 공격에 대한 치료 및 환경 강화 예산으로 600만 달러를 책정하겠다는 투표를 마쳤다고 보도하기도 했습니다.


이 예산은 RobbinHood 때문은 아닙니다. 높은 비용이 책정된 이유는 사건 관리 방식 및 공격이 발생하기 전 보안 방어책을 구축하기 위함입니다.



이점을 활용해 수익 올려


이 공격으로 RobbinHood 해커들은 명성을 얻기에 충분했습니다. 그리고 이제 이 점을 활용하고 있습니다. 


이 랜섬웨어는 조직을 타깃으로 해킹된 원격 데스크톱 서비스나 기타 악성코드를 통해 확산된다는 사실이 잘 알려져 있습니다.


새로운 RobbinHood 변종의 랜섬노트에는 공격자가 타깃 시스템을 파악하고 랜섬웨어를 확산시키기 위해 로컬 네트워크에 오랫동안 숨어 있었다고 언급합니다.


그리고 감염된 기기 1대 당 파일 복호화 금액과 전체 복호화 금액이 작성되어 있습니다.


랜섬노트에는 4일 내에 금액을 지불해야 하며, 기간 내 지불하지 못하면 금액은 매일 1만 달러씩 증가할 것이라고 언급합니다.


그리고 10일이 지나면 피해자의 키와 패널은 자동으로 제거될 것이라고 말합니다.


거기다 피해자에게 FBI 또는 기타 보안 업체에 신고하거나 VirusTotal 스캐닝 플랫폼에 해당 파일을 업로드하지 말라고 경고합니다. 


또한 시스템을 끄거나 파일의 이름을 변경하고 컴퓨터 복구를 시도할 경우 파일이 손상될 수 있다고도 경고했습니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/robbinhood-ransomware-using-street-cred-to-make-victims-pay/>



아직까지 해당 랜섬웨어의 복호화 툴은 존재하지 않습니다. 하지만 랜섬머니를 지불하는 것이 RobbinHood의 유일한 해결책이 되어서는 안 될 것입니다. 


랜섬웨어 공격에 대응하는 방법은 제한적으로 접근이 가능한 적절한 백업 시스템에 복사본을 저장하는 것입니다.


현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.RobinHood'으로 탐지하고 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/robbinhood-ransomware-using-street-cred-to-make-victims-pay/

티스토리 방명록 작성
name password homepage