DeathRansom, 장난에서 실제 랜섬웨어로 진화해

DeathRansom evolves from joke to actual ransomware

사이버 보안 업체인 Fortinet이 장난일 뿐이었던 DeathRansom이 견고한 암호화 체계를 통해 실제로 파일을 암호화하고 있다고 발표했습니다.

이 랜섬웨어는 탄탄한 배포 캠페인을 통해 지난 2달 동안 매일 피해자를 발생시켰습니다.

첫 DeathRansom 감염은 2019년 11월 발생했습니다. 이 랜섬웨어의 초기 버전은 그저 농담으로 여겨졌습니다. 

당시 DeathRansom은 사용자의 파일을 전혀 암호화하지 않았으며 랜섬웨어 흉내만 냈었습니다.

첫 번째 버전은 모든 사용자 파일에 확장자를 추가하고 시스템에 사용자에게 돈을 요구하는 랜섬노트를 드롭했습니다.

이 모든 작업은 실제로 사용자의 파일을 암호화하지 않고도 피해자에게 돈을 지불하도록 요구하기 위한 것이었습니다.

당시 피해자는 파일에서 두 번째 확장자를 제거하기만 하면 다시 파일을 사용할 수 있었습니다.

탄탄한 암호화 체계를 사용하는 새 버전

하지만 DeathRansom의 코드를 발전시키는 작업은 계속되어, 최근 발견된 새로운 버전은 실제 랜섬웨어의 역할을 할 수 있었습니다.

Fortinet에 따르면, 새로운 DeathRansom 변종은 EDCH(Elliptic Curve Diffie-Hellman) 키 교환 체계의 Curve25519 알고리즘, Salsa20, RSA-2048, AES-256 ECB, 간단한 block XOR 알고리즘의 복잡한 조합을 사용하여 파일을 암호화했습니다.

DeathRansom의 최신 암호화 체계

<이미지 출처: https://www.fortinet.com/blog/threat-research/death-ransom-new-strain-ransomware.html>

현재 보안 연구원들이 DeathRansom의 취약점을 찾고 있는 중입니다. 하지만 이 랜섬웨어는 견고한 암호화 체계를 사용하고 있는 것으로 보입니다.

DeathRansom 제작자 추적

Fortinet의 연구원들은 랜섬웨어의 소스코드를 분석하는데 그치지 않고 제작자에 대한 단서를 찾기 시작했습니다.

연구원들은 DeathRansom 소스코드와 해당 랜섬웨어 페이로드를 배포하는 웹사이트에서 문자열을 추출한 결과 몇 년 전 광범위한 사이버 범죄 캠페인을 진행한 악성코드 운영자와의 연관성을 발견했습니다.

연구원들은 이 제작자가 DeathRansom을 제작해 배포하기 전 사용자들을 다수의 패스워드 스틸러와(Vidar, Azorult, Evrial, 1ms0rryStealer) 가상화폐 마이너에(SupremeMiner) 감염시키고 있었다고 밝혔습니다.

연구원들이 언더그라운드 해킹 포럼에서 발견한 다양한 광고로 미루어 볼 때, 이들은 그 후 몇 년 간 피해자들의 브라우저에서 계정 및 패스워드 정보를 추출해 훔친 크리덴셜을 온라인에 판매하고 있었던 것으로 보입니다.

연구원들은 과거 악성코드에서 단서를 수집했습니다. 수집한 정보는 닉네임인 scat01, SoftEgorka, vitasa01[@]yandex.ru 이메일 주소, gameshack[.]ru 웹사이트입니다. 

마지막 웹사이트는 해킹된 웹사이트가 아닌 제작자 소유로 직접 운영하는 것으로 추측하고 있습니다.

이 정보를 가지고 연구원들은 Iandex.Market, 유튜브, 스카이프, VK, 인스타그램, 페이스북에서 프로필을 찾을 수 있었습니다. 

이 계정 모두는 로스토프나도누 근처 작은 러시아 마을에 사는 러시아인인 Egor Nedugov와 관련이 있었습니다.

<이미지 출처: https://www.fortinet.com/blog/threat-research/death-ransom-attribution.html>

Fortinet 측은 정확한 DeathRansom 제작자를 발견했다고 확신했습니다. 또한 이들이 보고서에 포함하지 않은 온라인 프로필이 더 많이 있다고 밝혔습니다.

또한 DeathRansom 제작자가 다른 포럼 동료에게 사기 행각을 벌여 언더그라운드 사이버 범죄자들의 룰을 어겨 모든 계정이 추방된 것으로 보인다고 덧붙였습니다.

현재 DeathRansom은 피싱 이메일 캠페인을 통해 배포되고 있습니다.

Fortinet은 이 랜섬웨어의 암호화 체계에서 취약점을 찾아 무료 복호화 툴을 만들기 위해 분석 중입니다.

더 자세한 정보는 Fortinet의 보고서[1, 2]에서 확인하실 수 있습니다.

현재 알약에서는 해당 악성 샘플에 대해 ‘Trojan.Ransom.DEATHRansom’으로 탐지 중에 있습니다.

출처:

https://www.zdnet.com/article/deathransom-evolves-from-joke-to-actual-ransomware/