포스팅 내용

국내외 보안동향

라이선스 할인을 제공하는 새로운 서비스형 랜섬웨어 Buran 발견

New Buran ransomware-as-a-service tempts criminals with discount licenses


VegaLocker 랜섬웨어 변종이 새로운 서비스형 랜섬웨어(RaaS)인 Buran을 위한 기반을 제공하고 있습니다. 

Buran은 가격 할인을 통해 범죄자들을 끌어들이고 있습니다. 


McAfee의 연구원에 따르면, Buran 랜섬웨어는 2019년 처음 발견된 이후, 현재는 REVil, Phobos와 함께 RaaS 랭킹에 진입했습니다. 


러시아 포럼에서 처음으로 공개된 Buran의 운영자들은 범죄자 고객들과 개인적 친분을 쌓는데 중점을 둔 것으로 보입니다. 


Buran 서비스형 랜섬웨어(RaaS) 운영자들은 대게 랜섬머니 수익의 25%를 요구하는데, 일반적으로 랜섬머니의 30~40%를 요구하는 다른 서비스형 랜섬웨어들과 비교하면 매우 파격적인 제안입니다. 


이뿐만 아니라 Buran을 상당 수준으로 유포 및 감염시킬 수 있는 사람이라면 이 수수료 요율 또한 협상이 가능하다고 밝히고 있습니다. 



홍보물에서는 Buran이 안정적인 악성코드이며, 특징으로 오프라인 크립토락커 사용, 24시간 지원, 글로벌 및 세션 키 사용, 라이브러리 등 타사 종속성 없음을 꼽았습니다. 


이 악성코드는 로컬 드라이브와 네트워크 경로를 스캔 가능하며 파일의 확장자를 바꾸지 않고 암호화 하기, 복원 시점 제거 및 로그 삭제, 백업 카탈로그 삭제, 여러 자가 삭제 기능 등을 포함한 옵션 기능을 포함하고 있습니다. 


Buran의 운영자들은 이 랜섬웨어가 마이크로소프트 Windows OS의 모든 버전과 호환이 가능하다고 주장하고 있지만, Windows XP를 포함한 일부 구 버전은 Buran에 감염되지 않을 것이라 밝혔습니다.


Buran이 선호하는 배포 수단은 Rig 익스플로잇 키트이며, 배포할 시스템에 침투하기 위해서는 마이크로소프트 IE VBScript Engine RCE 취약점인 CVE-2018-8174가 사용됩니다. 


현재까지는 델파이로 작성된 두 버전의 Buran이 발견되었습니다. 두 번째 버전에서는 첫 버전의 기능이 개선되었습니다. 


Buran 랜섬웨어는 피해자의 기기가 러시아, 벨라루스, 우크라이나에 등록되어있는지 확인한 후, 등록이 확인되면 자신을 종료합니다. 


Buran은 파일을 생성하고 임시 폴더에 저장 가능한지 먼저 확인 후 지속성을 유지하기 위한 레지스트리 키를 생성하고, 피해자에게 ID를 부여하고, 랜섬노트를 게시합니다.


<이미지 출처 : https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/>


코드 내에서 발견된 TTPs가 유사한 것으로 보아 Buran은 VegaLocker와 Jumper를 기반으로 만들어졌으며 이 악성코드의 진화된 버전으로 판단되며, 레지스트리 변경, 임시 폴더에 저장된 파일의 유형, 확장자 겹침, 섀도우 복사본 생성 등 다양한 유사점을 갖고 있는것이 확인되었습니다. 


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.VegaLocker로 탐지중에 있습니다. 





출처 :

https://www.zdnet.com/article/vegalocker-evolves-into-buran-ransomware-as-a-service/

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/



티스토리 방명록 작성
name password homepage