비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!!

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 국내에 Nemty 랜섬웨어를 유포하던 비너스락커 조직이 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 대량으로 유포중에 있어 사용자들의 주의가 필요합니다.  

※ 관련글 바로가기

▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)

▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)

▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)

▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)

▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)

▶ 비너스락커 조직, 입사지원서 위장 Nemty Revenge 2.0 랜섬웨어 대량 유포중 (2019.10.29)

▶ 비너스락커, 공정거래위원회 사칭하여 Nemty 랜섬웨어 V1.6 유포 주의! (2019.10.10) 

▶ 비너스락커, 입사 지원서 위장하여 Nemty 랜섬웨어 V1.5 유포! (2019.09.30)

▶ 비너스락커(VenusLocker), 또다시 입사지원서를 위장해 Nemty 랜섬웨어 유포! (2019.09.23) 

▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11) 

▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.1.3)

이번에 발견된 악성 메일은 기존에 비너스락커 조직이 유포하였던 구직의뢰 내용의 이메일과 동일합니다. 

[그림 1] 악성 메일 및 첨부파일

하지만 다른점은 기존에 유포하던 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 유포한다는 점입니다. 

비너스락커 조직이 단발성으로 Makop 랜섬웨어를 유포하는 것인지 아니면 유포하는 랜섬웨어를 Makop 랜섬웨어로 변경한 것인지는 지속적인 모니터링을 통해 확인이 필요합니다. 

또한 첨부파일의 압축파일 포맷이 기존에 7z, alz에서 .tgz로 변경된 것이 확인되었습니다. 

실제로 비너스락커 조직은 올해 2월 초 Nemty 랜섬웨어를 유포할 때 테스트로 압축파일 포맷을 .tgz로 변경하여 유포한 적이 있었습니다. 

[그림 2] 정상 pdf 파일을 위장한 exe 파일

공격자는 압축파일 안에 pdf 파일 아이콘을 위장한 exe 파일을 포함시켜 사용자들의 실행을 유도합니다. 

만약 사용자가 첨부파일의 압축을 풀어 파일을 실행하면, makop 랜섬웨어가 실행되며, 사용자 파일들을 암호화 합니다. 암호화 된 파일들은 확장자가 .[helpdesk_makp@protonmail.ch].makop로 변경됩니다.

[그림 3] makop 랜섬웨어 랜섬노트 및 암호화된 파일

특이한 점은 파일 암호화 과정 중 일부 시스템 설정파일에 대해서도 암호화를 하는데, 이는 제작자가 랜섬웨어를 제작하는 과정 중의 실수로 추정됩니다. 

[그림 4] makop랜섬웨어가 암호화 시키는 시스템 파일

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Makop로 탐지중에 있으며, 변종에 대해서도 지속적으로 모니터링 중에 있습니다. 

유사 위협에 사용된 도구와 침해지표(IoC)는 '쓰렛 인사이드(Threat Inside)' 위협 인텔리전스 리포트에서 확인하실 수 있습니다.