의료 및 IT 회사를 공격하는 Zeppelin 랜섬웨어 발견

Zeppelin Ransomware Targets Healthcare and IT Companies

타깃 공격을 통해 미국과 유럽 회사를 감염시키는 VegaLocker/Buran 랜섬웨어의 새로운 변종인 Zeppelin이 발견되었습니다. 

이 랜섬웨어 패밀리는 VegaLocker로 시작해 나중에는 Buran Ransomware로 이름을 변경했으며 2019년 5월 러시아의 악성코드 및 해커 포럼에서 서비스형 랜섬웨어(RaaS)로 홍보되었습니다. 이 서비스형 랜섬웨어를 이용하는 고객들은 지불받은 랜섬머니의 총 75%를, Buran의 운영자는 25%를 가져갑니다.

[그림1] Buran 광고

<이미지 출처: https://www.bromium.com/buran-ransomware-targets-german-organisations-through-malicious-spam-campaign/>

이후 새로운 변종인 VegaLocker, Jamper가 발견되었으며 지난달에는 가장 최신 변종인 Zeppelin이 발견되었습니다.

Zeppelin 랜섬웨어

Cylance의 연구원들은 IT 및 의료 회사를 노리는 타깃 공격에서 Zeppelin 랜섬웨어를 발견했다고 밝혔습니다. 

Cylance는 해커들이 관리 소프트웨어를 통해 추가로 고객들을 감염시킬 목적으로 타깃 MSP를 공격했다고 추측했습니다.

Zeppelin 랜섬웨어가 어떻게 배포되는지는 정확히 알려지지 않았지만, 인터넷에 공개적으로 노출된 원격 데스크톱 서버를 이용하는 것으로 추측됩니다.

다른 많은 러시아 랜섬웨어와 마찬가지로, Zeppelin은 Windows의 설정 언어나 기본 국가 코드를 확인하여 해당 사용자가 러시아, 우크라이나, 벨로루시, 카자흐스탄과 같은 CIS 국가에 속해 있는지 확인합니다.

이 과정을 통과하면 랜섬웨어는 데이터베이스, 백업, 메일 서버 등을 포함한 다양한 프로세스를 종료하기 시작합니다.

Zeppelin은 파일을 암호화할 때 별도 확장자를 붙이지 않으며, 파일 이름도 그대로 유지합니다. 하지만 아래와 같이 파일 내 Zeppelin 마커가 포함됩니다.

[그림2] Zeppelin 파일 마커

<이미지 출처 : https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-targets-healthcare-and-it-companies/>

파일을 암호화하는 동시에 랜섬노트인 !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT 파일을 생성합니다. 랜섬노트에는 피해자에게 감염 사실을 알리고 돈을 지불할 수 있는 경로를 알려주거나 파일 하나를 시험 삼아 복호화해볼 수 있는 이메일 연락처가 포함되어 있습니다.

[그림3] Zeppelin 랜섬노트

<이미지 출처 : https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-targets-healthcare-and-it-companies/>

안타깝게도 아직까지 이 랜섬웨어에서 취약점이 발견되지 않았으며 무료로 파일을 복구할 수 있는 방법은 없습니다.

Zeppelin 페이로드 빌더 발견돼

보안 연구원인 Vitali Kremez는 지난 11월 말 이 랜섬웨어를 연구하던 도중 제휴 파트너가 여러 종류의 페이로드를 빌드하는 데 사용할 수 있는 Zeppelin 랜섬웨어 빌더를 발견했습니다.

이 페이로드는 .exe, .dll, .ps1 스크립트 페이로드 다른 여러 공격 유형에 사용될 수 있습니다.

[그림4] Zeppelin 랜섬웨어 빌더

<이미지 출처 : https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-targets-healthcare-and-it-companies/>

Zeppelin의 제휴 파트너는 이 빌더를 통해 그들의 공격에 맞는 랜섬노트를 직접 생성할 수 있습니다.

예를 들어, 특정 회사를 공격하고자 할 경우 빌더를 이용하여 노트에 회사 이름을 추가할 수 있습니다.

Zeppelin은 아직까지 Ryuk, REvil, Maze, Bitpaymer, DoppelPaymer만큼 널리 배포되지는 않았으나, 꾸준히 진화하고 새로운 제휴 파트너를 모집하고 있기 때문에 주의해야 할 랜섬웨어 패밀리라 볼 수 있습니다.

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.VegaLocker로 탐지중에 있습니다 .

출처 :

https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-targets-healthcare-and-it-companies/

https://threatvector.cylance.com/en_us/home/zeppelin-russian-ransomware-targets-high-profile-users-in-the-us-and-europe.html