상세 컨텐츠

본문 제목

새로운 Megacortex 랜섬웨어, 윈도우 비밀번호를 변경하고 사용자 데이터를 공개하겠다 협박해

국내외 보안동향

by 알약(Alyac) 2019. 11. 7. 15:15

본문

New Megacortex Ransomware Changes Windows Passwords, Threatens to Publish Data


Megacortex 랜섬웨어의 새로운 버전이 발견되었습니다. 


이 새로운 버전은 파일을 암호화할 뿐만 아니라 로그인된 사용자의 비밀번호까지 변경하고 랜섬머니를 지불하지 않을 경우 피해자의 파일을 공개한다는 협박까지 합니다.


MegaCortex는 Emotet과 같은 악성코드가 제공하는 네트워크 접근 권한을 통해 설치되는 타깃형 랜섬웨어입니다. 


MegaCortex 운영자가 시스템 접근 권한을 획득하면, Active 디렉터리 컨트롤러나 post-exploitation 키트를 통해 네트워크 상의 시스템에 랜섬웨어를 유포합니다. 


새로운 MegaCortex 버전의 특징


이번에 발견된 새로운 MegaCortex 랜섬웨어는 이전의 변종들과는 많이 다르며, 새로운 확장자인 .m3g4c0rtx를 사용합니다. 



또한 MegaCortex 랜섬웨어는 pc를 감염시킨 후에는 사용자가 윈도우에 로그인 하기 전에 랜섬웨어에 걸렸다는 메세지를 보여줍니다.



메인 MegaCortex 런처가 실행되면, DLL 파일 2개와 CMD 스크립트 3개를 C:\Windows\Temp로 추출합니다. 이 런처는 현재 "MURSA PTY LTD"라는 호주 회사의 Sectigo 인증서로 서명되어 있습니다.



이 CMD 파일은 섀도우 볼륨 복사본을 제거하고, Cipher 명령어를 통해 C:\ 드라이브의 모든 여유 공간을 삭제하고, 감염되었다는 공지를 설정한 다음 컴퓨터를 암호화하는 데 사용된 모든 파일을 삭제하는 등 다양한 명령어를 실행합니다.



분석가 Kremez는 컴퓨터의 파일을 암호화하는데 DLL 파일 2개가 사용되었다고 밝혔습니다. 

하나는 암호화할 파일을 찾기 위한 파일 iterator이며, 다른 하나는 파일을 암호화하는 데 사용되었습니다.


이 DLL들은 어떤 프로세스에도 인젝션되지 않았으며 Rundll32.exe를 통해 실행되며, 작업이 완료되면 피해자들은 데스크탑에서 !-!_README_!-!.rtf라는 이름의 랜섬노트를 찾아볼 수 있게 됩니다.



이 랜섬웨어는 실제로 피해자 윈도우 계정의 비밀번호를 변경합니다. 


또한 사용자의 데이터를 다른 곳으로 복사하였으며, 만약 랜섬머니를 지불하지 않을 경우 이 데이터를 공개하겠다고 협박합니다.


공격자가 실제로 피해자의 파일을 복사했는지는 아직 확인되지는 않았지만, 실제로 복사했을 가능성이 있으므로 이 위협 또한 무시해서는 안됩니다.


만약 MegaCortex 랜섬웨어가 데이터를 다른곳으로 복사를 했다면, 더 이상 랜섬웨어가 아닌 데이터 유출 사건으로 간주해야 할 것입니다. 




출처 :

https://www.bleepingcomputer.com/news/security/new-megacortex-ransomware-changes-windows-passwords-threatens-to-publish-data/



관련글 더보기

댓글 영역