상세 컨텐츠

본문 제목

Satan 랜섬웨어가 활동을 중지한 후 새롭게 나타난 5ss5c 랜섬웨어!

국내외 보안동향

by 알약(Alyac) 2020. 1. 17. 09:47

본문

5ss5c Ransomware emerges after Satan went down in the hell


Satan, DBGer, Lucky 랜섬웨어를 운영했으며 Iron 랜섬웨어도 운영한 것으로 추측되는 공격자들이 새로운 악성코드인 ‘5ss5c’로 활동을 재개한 것으로 나타났습니다.


Blaze는 공격자가 적어도 2019년 11월부터 5ss5c를 개발해온 것으로 보이며, 현재까지도 개발 중인 것으로 추측했습니다. 실제로 전문가들은 코드 내에서 Enigma VirtualBox로 패킹된 두 번째 스프레더모듈인 poc.exe를 발견했습니다.


“5ss5c가 아직까지 개발 중인 상태이며 Satan 랜섬웨어에서 파생된 것으로 추측할 수 있는 근거가 몇가지 있습니다.”


“모듈 이름인 ‘poc’는 개념 증명(Proof of Concept)의 약자로 흔히 사용되기 때문에, 이들이 실험을 진행중이라 추측할 수 있습니다.”


또한 이 연구원은 5ss5c 랜섬웨어가 Satan 랜섬웨어에서 파생된 것으로 추측했습니다. 그는 Satan의업데이트는 지난 8월 멈췄으며, 5ss5c는 11월 등장했다는 사실을 지적했습니다.


Satan과 마찬가지로 5ss5c 또한 다운로더를 통해 프로세스를 시작하고 확산을 위해 EternalBlue익스플로잇을 사용합니다. Blaze는 Satan이 만들어내는 파일과 사용하는 전술, 기술 및 절차(TTPs)가 DBGer와 유사하며 부분적으로는 Iron과도 유사하다고 덧붙였습니다.


poc.exe 파일은 C:\ProgramData\poc.exe에 드롭되며 아래 명령을 실행합니다:


cd /D C:\ProgramData&star.exe –OutConfig a –TargetPort 445 –Protocol SMB –Architecture x64

–Function RunDLL –DllPayload C:\ProgramData\down64.dll –TargetIp 


이는 satan 랜섬웨어가 실행한 명령어와 매우 유사합니다:


cmd /c cd /D C:\Users\Alluse~1\&blue.exe –TargetIp & star.exe –OutConfig a –TargetPort 445

–Protocol SMB –Architecture x64 –Function RunDLL –DllPayload down64.dll –TargetIp


Satan과 5ss5c 모두 암호화 시 제외하는 파일 목록을 포함하고 있습니다. 새 랜섬웨어는 이 목록에 Qih00 360 보안 솔루션과 관련된 파일을 추가했습니다. (360download, 360safe 파일)


5ss5c 랜섬웨어는 중국어로된 랜섬 노트를 드롭합니다. 이 랜섬노트는 복호화를 위해 1 비트코인을 요구하는 내용이 포함되어있습니다.


<이미지 출처: https://bartblaze.blogspot.com/2020/01/satan-ransomware-rebrands-as-5ss5c.html>


랜섬머니는 48시간이 지나면 두 배로 증가합니다. 랜섬노트에는 공격자에게 연락할 수 있는 이메일 주소나 비트코인 지갑 주소는 포함되어 있지 않았으나, 파일을 암호화 후 이름에 (5ss5c(at)mail[.]ru)라는 문구를 추가합니다. 예를 들어, test.txt 파일이 암호화되면 아래와 같이 이름이 변경됩니다.

[5ss5c@mail.ru]test.txt.Y54GUHKIG1T2ZLN76II9F3BBQV7MK4UOGSQUND7U.5ss5c



출처 :

https://securityaffairs.co/wordpress/96452/malware/5ss5c-ransomware.html

https://bartblaze.blogspot.com/2020/01/satan-ransomware-rebrands-as-5ss5c.html


관련글 더보기

댓글 영역