상세 컨텐츠

본문 제목

BitPyLock 랜섬웨어, 탈취한 데이터를 공개하겠다 협박

국내외 보안동향

by 알약(Alyac) 2020. 1. 22. 09:10

본문

BitPyLock Ransomware Now Threatens to Publish Stolen Data


새로운 랜섬웨어인 BitPyLock이 개인 워크스테이션을 공격하지 않고 네트워크 전체를 해킹하여 기기를 암호화하기 전 파일을 훔치려 시도하는 것으로 나타났습니다.


BitPyLock은 지난 1월 9일 MalwareHunterTeam이 처음으로 발견했으며, 발견 이후로 매일 피해자가 발생하고 있습니다.


연구원들이 이전 버전과 최신 버전의 랜섬노트를 비교한 결과, 이 랜섬웨어의 공격 대상이 변경되었음을 확인할 수 있었습니다.


또한 최근 여러 랜섬웨어 운영자들이 데이터를 암호화하기 전 탈취하는 전략을 사용하고 있는데, BitPyLock의 운영자도 여기에 합류할 것이라 밝혀 더욱 문제가 되고 있습니다.


BitPyLock 랜섬웨어 분석 결과, 처음 실행 시 BitPyLock은 아래 문자열을 포함하는 모든 프로세스를 종료하려 시도합니다. 이 작업의 목적은 보안 소프트웨어를 종료하고 백업 소프트웨어, 웹 서버 대몬, 가상 머신, 데이터베이스가 사용하는 파일을 닫아 암호화될 수 있도록 하기 위함입니다.


backup, cobain, drop, drive, sql, database, vmware, virtual, agent, anti, iis, web, server, apache


BitPyLock은 아래 346개 확장자를 가진 파일을 암호화합니다. 또한 특정 폴더 내 파일은 암호화하지 않고 건너 뜁니다.


암호화하지 않는 폴더


- windows

- windows.old

- program files

- program files (x86)

- program data

- $recycle.bin

- system volume information


또한 암호화된 모든 파일에는 .bitpy 확장자를 붙입니다. 예를 들어, 1.doc 파일이 암호화될 경우 1.doc.bitpy로 이름이 변경될 것입니다.



<BitPyLock으로 암호화된 파일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/bitpylock-ransomware-now-threatens-to-publish-stolen-data/>



또한 각 폴더와 데스크탑에 “# HELP_TO_DECRYPT_YOUR_FILES #.html”라는 이름의 랜섬노트를 생성합니다. 이 랜섬노트는 피해자에게 표시된 비트코인 주소로 비트코인을 보내는 방법을 알려줍니다. 이후 복호화 툴을 받기 위해 표시된 이메일 주소로 연락할 것을 요구합니다.


BleepingComputer측에서 분석한 샘플에서 요구하는 랜섬머니는 0.8 비트코인이었습니다.


이 랜섬웨어의 구 버전 랜섬노트에서는 공격자가 네트워크가 아닌 개별 컴퓨터를 노리고 있음을 알 수 있었습니다.



<구 버전 랜섬노트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/bitpylock-ransomware-now-threatens-to-publish-stolen-data/>



이상한 점은 연구원들이 확인한 샘플은 동일한 비트코인 주소만을 제공하며 모든 피해자가 동일한 금액을 지불하기 때문에, 공격자가 누가 랜섬머니를 지불했는지 알아내는 것이 불가능할 수 있다는 것입니다.



네트워크를 공격하고 탈취한 데이터 게시하는 진화된 버전


<네트워크를 노리는 것으로 명시된 새로운 랜섬노트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/bitpylock-ransomware-now-threatens-to-publish-stolen-data/>



위 버전의 랜섬노트에서는 공격자가 “네트워크상의 모든 기기 내 파일”을 노리고 있는 것을 알 수 있습니다.


BitPyLock의 랜섬머니는 네트워크 전체를 암호화하는 다른 랜섬웨어에 비해 상당히 저렴합니다. 새 버전은 랜섬머니로 5 비트코인을 요구하고 있었습니다.


또한 랜섬노트에서는 돈을 지불하지 않을 경우 훔친 데이터를 공개할 것이라 협박하고 있습니다.


Maze와 Sodinokibi 랜섬웨어는 이미 돈을 지불하지 않은 피해자의 파일을 공개한 적이 있습니다. 하지만 아직까지 BitPyLock이 데이터를 공개한 사례는 없었습니다.


현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.BitPyLock으로 탐지중에 있습니다. 



출처 :

https://www.bleepingcomputer.com/news/security/bitpylock-ransomware-now-threatens-to-publish-stolen-data/



관련글 더보기

댓글 영역