Nemty 랜섬웨어, “LOVE_YOU” 캠페인 통해 배포돼

Nemty ransomware “LOVE_YOU” malspam campaign

Malwarebytes와 X-Force IRIS의 연구원들이 비밀 연애 편지로 위장한 메시지를 통해 Nemty 랜섬웨어를 배포하는 스팸 캠페인을 발견했습니다. 이 캠페인은 현재도 진행 중입니다.

<이미지 출처: https://twitter.com/MBThreatIntel/status/1232828557040029696>

공격자들은 이 메시지를 비밀 연애 편지로 위장하기 위해 메일 제목을 “Don’t tell anyone,” “I love you,” “Letter for you,” “Will be our secret,” “Can’t forget you”와 같이 작성했습니다.

모든 스팸 메일의 내용은 ‘;)’ 이모티콘만을 포함하고 있었습니다.

또한 (‘LOVE_YOU_######_2020.zip’)와 같은 형식의 ZIP 압축파일을 첨부하고 있었습니다.

“각 압축 파일에 포함된 파일의 해시는 동일했으며, 고도로 난독화된 JavaScript 파일인 LOVE_YOU.js와 연관되어 있었습니다.”

LOVE_YOU JavaScript의 초반 탐지율은 낮은 편이었으나, 캠페인이 발견된 후에는 급격히 증가했습니다.

이 악성 JavaScript는 Nemty 랜섬웨어의 드롭퍼 역할을 하며, 원격 서버에서 최종 페이로드가 다운로드된 후 실행됩니다.

IBM 연구원들은 2020년 2월 28일 이 캠페인이 일시적으로 중단된 것으로 보인다고 밝혔습니다.

Nemty 랜섬웨어는 2019년 8월 처음 발견되었으며, 암호화 후 추가되는 확장자의 이름을 따 명명되었습니다. 이 랜섬웨어는 복원을 막기 위해 암호화한 파일의 섀도우 복사본을 삭제합니다.

2019년 10월, Tesorion의 연구원들은 Nemty 버전 1.4와 1.6으로 암호화된 파일에 작동하는 복호화 툴을 개발했으며 얼마 후 1.5버전에서도 동작하는 복호화 툴 또한 발표했습니다.

지난 2월, Nemty 랜섬웨어 운영자들은 랜섬머니 지불을 거부한 피해자들로부터 훔친 데이터를 게시할 웹 사이트를 구축할 것이라 발표했습니다.

현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.VBS.Agent, Trojan.Ransom.Nemty로 탐지중에 있습니다. 

출처 :

https://securityaffairs.co/wordpress/98755/malware/nemty-ransomware-malspam.html