상세 컨텐츠

본문 제목

NextCloud 리눅스 서버의 데이터를 암호화하는 새로운 랜섬웨어인 NextCry 발견

국내외 보안동향

by 알약(Alyac) 2019. 11. 18. 08:47

본문

New NextCry Ransomware Encrypts Data on NextCloud Linux Servers


현재 안티바이러스 엔진이 탐지하지 못하는 새로운 랜섬웨어가 실제 공격에서 발견되었습니다. 이 랜섬웨어의 이름은 NextCry이며, 암호화된 파일에 추가되는 확장자, 파일 동기화 및 공유 서비스 클라이언트인 NextCloud를 노린다는 점을 고려하여 명명되었습니다.


이 악성코드는 NextCloud 인스턴스를 노리며 현재 어떤 솔루션도 해당 랜섬웨어를 탐지하지 못하는 것으로 확인되었습니다. 


NextCloud 사용자인 xact64는 해당 악성코드로 암호화된 개인 파일을 복호화하는데 도움을 얻기 위해 BleepingComputer 포럼에 게시물을 올렸습니다.


그는 시스템을 백업했지만, 동기화 프로세스가 컴퓨터의 파일을 서버의 암호화된 버전으로 업데이트하기 시작했습니다.


보안 연구원인 Michael Gillespie는 NextCry 랜섬웨어가 새로운 위협이며 Base64를 이용하여 파일 이름을 암호화한다고 밝혔습니다. 특이한 점은 암호화된 파일의 내용 또한 처음 암호화된 후 동일한 방식으로 다시 암호화된다는 것입니다.


BleepingComputer는 이 NextCry는 파이썬 스크립트이며 pyInstaller를 사용하여 리눅스 ELF 바이너리로 컴파일된 것을 발견했습니다. 이 글을 쓰고 있는 현재 VirusTotal의 어떠한 안티바이러스 엔진도 이 랜섬웨어를 탐지하고 있지 않았습니다.



NextCloud 서버 노려


랜섬노트가 담긴 파일의 이름은 “READ_FOR_DECRYPT”였으며, 데이터가 256-bit키를 사용한 AES 알고리즘을 통해 암호화되었다고 밝히고 있습니다. Gillespie는 실제로 AES-256이 사용되었으며 해당 키는 악성코드에 내장된 RSA-2058 공개키로 암호화되었다는 것을 확인했습니다.


연구원들이 분석한 샘플에서 요구하는 랜섬머니는 BTC 0.025(약 $210)이었습니다. 비트코인 지갑 주소도 주어졌지만 현재까지 아무런 거래가 발생하지 않은 상태입니다.


BleepingComputer의 또 다른 회원인 shuum이 컴파일된 파이썬 스크립트를 추출하는 데 성공한 후, 연구원들은 이 랜섬웨어가 NextCloud 서비스를 노린다는 것을 명확히 알 수 있었습니다.


이 랜섬웨어는 처음 실행되면 서비스의 config.php 파일을 읽어 피해자의 NextCloud 파일 공유 및 동기화 데이터 디렉토리를 찾습니다. 이후 파일을 복구하는 데 사용될 수 있는 일부 폴더를 삭제하고 데이터 디렉토리의 모든 파일을 암호화합니다.



또 다른 감염 사례 발견돼


또 다른 NexCloud 사용자인 Alex가 NextCry 랜섬웨어에 피해를 입었다고 제보해왔습니다. 그는 인스턴스로의 접근이 SSH를 이용하여 잠긴 상태였으며, 소프트웨어의 최신 버전을 사용했다고 밝혔습니다. 이로써 공격자가 취약점을 통해 침입했을 것으로 추측할 수 있습니다.


사용자 Xact64는 그의 Nextcloud 설치가 NGINX를 사용하는 오래된 리눅스 컴퓨터에서 실행된다고 밝혔습니다.

10월 24일, Nextcloud는 Nextcloud NGINX의 기본 구성에 영향을 미치는 원격 코드 실행 취약점에 대한 긴급 경고를 발표했습니다.


CVE-2019-11043으로 추적되는 이 취약점은 PHP-FPM (FastCGI Process Manager) 컴포넌트에 존재합니다. 이는 Nextcloud를 포함한 일부 호스팅 제공업체에서 기본 설정으로 포함하고 있습니다.


Nextcloud는 관리자들에게 PHP 패키지와 NGINX 구성 파일을 최신 버전으로 업그레이드할 것을 권고했습니다.

Nextcloud는 현재 이 사건에 대해 조사 중이라 밝혔습니다.


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Python으로 탐지중에 있습니다. 




출처 :

https://www.bleepingcomputer.com/news/security/new-nextcry-ransomware-encrypts-data-on-nextcloud-linux-servers/



관련글 더보기

댓글 영역