윈도우, 리눅스, 맥 OS의 파일을 암호화할 수 있는 PureLocker 랜섬웨어 발견

PureLocker Ransomware Can Lock Files on Windows, Linux, and macOS

사이버 범죄자들이 모든 주요 OS에서 작동되는 랜섬웨어를 개발해 프로덕션 서버를 공격하고 있는 것으로 나타났습니다.

이 새로운 랜섬웨어의 이름은 PureLocker입니다. 악성코드 연구원들은 윈도우용 샘플을 분석했지만, 리눅스용 변종 또한 실제 공격에 사용되고 있습니다.

탐지우회 기능

이 악성코드는 탐지를 피하기 위하여 세심히 설계되었습니다. 악의적이거나 모호한 행동을 샌드박스 환경에 숨기고 Crypto++ 암호화 라이브러리로 위장하며 음악 재생 라이브러리에서 주로 찾아볼 수 있는 함수를 사용합니다.

예를 들어, 악성코드는 디버거 환경에서 실행되고 있는 것으로 판단되면 즉시 종료됩니다. 또한 페이로드는 실행 후 자신을 제거합니다.

이러한 방식을 통해 PureLocker는 지난 몇 달 동안 탐지되지 않은 채 남아있을 수 있었습니다. PureLocker는 지난 3주 동안 VirusTotal의 거의 모든 안티바이러스 엔진을 우회했습니다.

연구원들은 이 랜섬웨어가 PureBasic 프로그래밍 언어로 작성되었다는 점을 들어 PureLocker라 명명했습니다.

“안티바이러스 업계는 PureBasic 바이너리에 대한 신뢰할 수 있는 탐지 시그니쳐를 생성하는데 어려움을 겪고 있습니다. 또한 PureBasic 코드는 윈도우, 리눅스, OS-X로 포팅이 가능해 여러 플랫폼을 쉽게 공격할 수 있습니다.”

암호화 후 .CR1 확장자 추가 해

PureLocker의 파일 암호화 기능은 다른 랜섬웨어와 크게 다르지 않습니다. AES와 RSA 알고리즘을 사용하고 섀도우 복사본을 삭제하여 복구를 방지합니다.

이 악성코드는 시스템 내 모든 파일을 암호화하지는 않습니다. 실행 파일은 암호화하지 않은 채 남겨둡니다. 암호화된 파일에는 .CR1 확장자가 붙습니다.

랜섬노트는 시스템 데스크톱의 "YOUR_FILES" 파일에서 찾아볼 수 있습니다. 랜섬노트에서 금액은

제시되지 않았으며, 각 피해자용으로 생성된 고유한 Proton 이메일 주소로 연락하라는 메시지가

포함되어 있습니다.

연구원들은 “CR1” 문자열이 암호화된 파일의 확장자뿐만 아니라 랜섬노트와 이메일 주소에도 사용된다는 것을 발견했습니다.

따라서 PureLocker는 서비스형 랜섬웨어이며 이 랜섬웨어를 배포하는 고객들이 각각 다른 문자열을 사용하는 것으로 추정하고 있습니다.

Cobalt와 FIN6의 코드 재사용해

Intezer와 IBM X-Force의 연구원들은 PureLocker는 지난 몇 달 동안 활동했으며 다크 웹에서 찾아볼 수 있는 "More_Eggs" 백도어의 코드를 재사용했다고 밝혔습니다. 이 백도어는 Terra Loader 또는 SpicyOmelette라고도 알려져 있습니다.

분석에 따르면, 이 랜섬웨어는 Cobalt 그룹이 금융 기관을 공격하는 데 사용한 여러 악성 바이너리의 코드를 재사용합니다.

이 연구원들은 PureLocker의 3번째 공격 단계에 Cobalt에서 사용하는 특정 컴포넌트의 일부가 존재한다고 판단했습니다. Morphisec의 보안 연구원들은 이 부분을 "more_eggs” 백도어의 Jscript 로더라 밝혔습니다.

IBM X-Force에서 실시한 이전 연구에서는 금융 조직을 노리는 또 다른 사이버 범죄 그룹인 FIN6 또한 이 "more_eggs" 악성코드 키트를 사용했다고 밝혔습니다.

하지만 PureLocker 코드의 대부분은 고유합니다. 이로써 해당 악성코드는 새로운 것이거나 기존 공격을 크게 수정한 버전인 것으로 추측할 수 있습니다.

이 랜섬웨어는 다른 악성코드의 일부를 재사용하여 조용히 은신하고 안티바이러스의 탐지를 피할 수 있었습니다.

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.PureLocker로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/purelocker-ransomware-can-lock-files-on-windows-

linux-and-macos/

https://www.intezer.com/blog-purelocker-ransomware-being-used-in-targeted-attacks-against-servers/