SNAKE Ransomware Is the Next Threat Targeting Business Networks
기업 네트워크를 공격하여 연결된 모든 기기를 암호화하려 시도하는 새로운 랜섬웨어인 SNAKE가 발견되어 기업 네트워크 관리자의 각별한 주의가 필요합니다.
이 랜섬웨어는 기업 네트워크에 침투해 관리자 크리덴셜을 수집한 후 네트워크에 연결된 모든 컴퓨터의 파일을 암호화합니다.
기업을 노리는 랜섬웨어는 천천히 증가하고 있습니다. 현재는 Ryuk, BitPaymer, DoppelPaymer, Sodinokibi, Maze, MegaCortex, LockerGoga 랜섬웨어가 기업을 노리고 있으며, 이제 이 목록에 Snake 랜섬웨어도 추가되었습니다.
현재까지 발견된 Snake 랜섬웨어 관련 정보
지난 주 MalwareHunterTeam이 Snake 랜섬웨어를 발견해 리버스 엔지니어링 엔지니어인 Vitali Kremez에게 이를 공유했습니다.
Kremez의 분석 결과에 따르면, 이 랜섬웨어는 Golang으로 작성되었으며 높은 수준의 난독화 기술을 사용하였습니다.
“이 랜섬웨어는 이전에는 흔히 보이지 않았던 수준의 루틴 난독화를 포함하며, 타깃 접근 방식과 결합하여 사용됩니다.”
Snake 랜섬웨어가 시작되면, 이는 컴퓨터의 섀도우 볼륨 복사본을 제거하고 SCADA 시스템, 가상 머신, 산업 제어 시스템, 원격 관리 툴, 네트워크 관리 소프트웨어 등과 관련된 수 많은 프로세스를 종료 시킵니다.
이후 윈도우 시스템 폴더와 다양한 시스템파일을 제외한 기기 내 파일을 암호화합니다. 이 랜섬웨어가 암호화하지 않는 시스템 폴더는 아래와 같습니다.
windir
SystemDrive
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Boot
:\System Volume Information
:\Recovery
\AppData\
파일을 암호화할 때는 파일의 확장자에 문자 5개를 추가합니다. 예를 들어 1.doc 파일이 암호화될 경우 1.docqkWbv와 같이 변경됩니다.
<암호화된 파일이 포함된 폴더>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/snake-ransomware-is-the-next-threat-targeting-business-networks/>
Snake 랜섬웨어는 암호화된 각 파일 내용 끝에 ‘EKANS’라는 문자를 추가합니다. EKANS는 SNAKE를 거꾸로 쓴 것입니다.
<EKANS 파일 마커>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/snake-ransomware-is-the-next-threat-targeting-business-networks/>
BleepingComputer는 SNAKE 랜섬웨어를 테스트한 결과 다른 랜섬웨어에 비해 파일을 암호화하는데 특히 오랜 시간이 소요되었다고 밝혔습니다. 하지만 SNAKE는 타깃형 랜섬웨어이기 때문에 공격자가 지정한 시간에 실행이 가능하므로 느린 속도가 큰 문제는 되지 않을 것입니다.
컴퓨터 암호화가 완료되면 이 랜섬웨어는 C:\Users\Public\Desktop 폴더에 Fix-Your-Files.txt라는 랜섬 노트를 생성합니다. 이 랜섬노트는 돈을 지불하는 방법을 알고싶을 경우 특정 이메일 주소로 연락하라는 내용을 담고 있습니다. 공격자가 제시한 이메일 주소는 bapcocrypt@ctemplar.com 입니다.
<SNAKE 랜섬 노트>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/snake-ransomware-is-the-next-threat-targeting-business-networks/>
이 랜섬웨어는 개별 워크스테이션이 아닌 네트워크 전체를 노립니다. 랜섬노트를 살펴보면 구입이 가능한 해독기가 개별 기기용이 아닌 네트워크 전체용인 것을 알 수 있습니다.
현재 이 랜섬웨어의 취약점을 찾기 위해 분석 중이며, 무료로 복호화가 가능할지 여부는 알 수 없습니다. 아직까지 이 랜섬웨어에서 취약점은 찾아볼 수 없었습니다.
현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Filecoder로 탐지중에 있습니다.
출처 :
구글 플레이 프로텍트를 비활성화 하고 가짜 앱 리뷰를 등록하는 안드로이드 트로이목마 발견 (0) | 2020.01.13 |
---|---|
TrickBot 공격 그룹, 가치가 높은 타깃을 공격하기 위한 PowerTrick 백도어 개발해 (0) | 2020.01.10 |
Bronze President APT 그룹, 아시아 남부 및 중부 노려 (0) | 2020.01.08 |
REvil(Sodinokibi) 랜섬웨어, 패치되지 않은 Pulse Secure VPN 서버 공격해 (0) | 2020.01.07 |
DeathRansom, 장난에서 실제 랜섬웨어로 진화해 (0) | 2020.01.06 |
댓글 영역