포스팅 내용

국내외 보안동향

Nemty 1.6 랜섬웨어, RIG 익스플로잇 키트 통해 배포돼

Nemty 1.6 Ransomware Released and Pushed via RIG Exploit Kit


RIG 익스플로잇 키트가 새로운 Nemty 랜섬웨어 변종을 포함하는 악성코드를 배포하고 있는 것으로 나타났습니다.


익스플로잇 키트 연구원인 mol69가 처음으로 발견한 이 멀버타이징 캠페인은 Internet Explorer(IE)와 Flash Player를 사용하는 기업 사용자들을 노리며 타깃을 RIG 익스플로잇 키트로 이동시키고 있었습니다.


사용자가 오래된 버전의 프로그램을 실행하면 익스플로잇 키트 랜딩 페이지로 이동됩니다.


그리고 악성 스크립트는 브라우저 취약점을 악용하여 Nemty 1.6 랜섬웨어를 포함한 다양한 악성코드를 설치하려 시도합니다.


가장 눈에 띄는 변화점은 아래와 같이 랜섬 노트에 1.6 버전이라 표기된 것입니다.



[그림 1] Nemty 1.6 랜섬노트

<이미지 출처: https://www.bleepingcomputer.com/news/security/nemty-16-ransomware-released-and-pushed-via-rig-exploit-kit/>



보안회사인 Tesorion는 Nemty 1.6의 암호화 알고리즘이 기존에 사용하던 커스텀 AES에서 윈도우 암호화 라이브러리 사용으로 변경되었다고 말했습니다.


이렇게 암호화 알고리즘을 변경한 이유는 Tesorion이 제작한 복호화 툴이 동작하지 않도록 하기 위한 것으로 추측됩니다.


그러나 Tesorion의 Nemty 복호화 툴은 Nemty 1.6 버전으로 암호화된 파일도 무료로 복호할 수 있기 때문에, 공격자들의 계획은 실패로 돌아갔습니다.


현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Nemty'으로 탐지 중에 있습니다.






출처:

https://www.bleepingcomputer.com/news/security/nemty-16-ransomware-released-and-pushed-via-rig-exploit-kit/

티스토리 방명록 작성
name password homepage