복호화를 위한 페이지 접속시 CAPTCHA코드를 삽입한 최신 Sodinokibi 랜섬웨어 발견

안녕하세요. 

ESRC(시큐리티 대응센터)입니다.

최근 유포중이던 Sodinokibi 랜섬웨어에 특이점이 발견되었습니다. 

기존 Sodinokibi 랜섬웨어와 비교하면 이번에 확인된 Sodinokibi 역시 대동소이합니다. 

일단 해당 Sodinokibi에 감염되면, 사용자PC에 저장된 특정 확장자 파일을 암호화하고 파일 확장자명을 기존 파일명 뒤에 일괄적으로 x35g0t03으로 붙여서 변경합니다. 또한 'Your files are encrypted !!!'라는 메시지를 포함한 푸른색 노이즈 이미지를 바탕화면으로 설정하는 동시에 x35g0t03-README-PLEASE라는 랜섬노트 파일을 띄웁니다.

[그림 1] Sodinokibi에 감염되어 바탕화면 변경 및 랜섬노트 실행된 PC 화면

※ 소디노키비(Sodinokibi) 랜섬웨어 게시글 바로가기

▶ 랜섬노트 문구를 수정한 Sodinokibi 랜섬웨어 변종 주의! (2020.01.14) 

▶ 부동산 관련 메일을 위장하여 유포되고 있는 소디노키비 랜섬웨어 주의! (2019.12.03)

▶ 리플라이 오퍼레이터, 글로벌 물류 회사 사칭해 Sodinokibi 랜섬웨어 유포! (2019.09.25)

▶ Trojan.Ransom.Sodinokibi 악성코드 분석 보고서 (2019.09.20)

▶ 리플라이 오퍼레이터 조직, 한국 금융기관 사칭 Sodinokibi 랜섬웨어 유포 (2019.08.26)

▶ 비너스락커 조직(VenusLocker) 기존보다 진화된 형태로 Sodinokibi 랜섬웨어 유포중! (2019.08.12)

다만 특이할만한 변경점이 2가지 발견되었는데, 앞서 잠시 언급했던 1)랜섬노트 파일명에 'README PLEASE'라는 내용이 포함된 것과 2)사용자가 Sodinokibi 랜섬웨어에 감염될 경우 보여지는 랜섬노트 상에 표기된 복호화 안내 페이지로 접속을 시도할 경우, 해당 복호화 안내 페이지에서 CAPTCHA 인증이 뜨게 된 부분입니다.

[그림 2] 랜섬노트에서 안내하는 복호화 안내 페이지로 접속시 보여지는 CAPTCHA 인증 화면

[그림 3] CAPTCHA 인증 이후 보이는 복호화 안내 페이지

CAPTCHA는 Completly Automated Public Turing test to tell Computers and Humans Apart의 약자로 '사람인지 컴퓨터인지 분별하는 완전하게 자동화된 튜링 테스트(사람에 가까운 기기를 대상으로 하는 테스트)'라는 뜻을 가지고 있으며, 실제 사람인지 아니면 프로그램인지를 구별하기 위해 사용되는 방식입니다. 

가장 흔하게 CAPTCHA가 사용되는 부분은 웹상에서 많이 보셨겠지만 특정 텍스트와 이미지를 비틀거나 일그러뜨려 기계가 인식하지 못하게 하고 사람만이 인식을 하게 하여 웹사이트 회원 가입시 프로그램/기계에 의한 자동가입을 방지하는 부분입니다.

이러한 CAPTCHA가 랜섬웨어가 안내하는 복호화 페이지에 새롭게 적용된 이유에 대해서는 정확하게 알 수는 없으나 자동 접속 및 크롤링 방지를 통해 보안업체 분석 시스템에 의한 복호화 작업 관련 시도를 사전에 차단하는 한편 실제 감염자 외의 불필요한 사이트 트래픽 발생을 줄이려는 의도로 추정됩니다. 

Sodinokibi는 여러 APT공격조직에서 여전히 활용중인 랜섬웨어이며, 최근에는 특정 공격 타깃에 맞춰 커스터마이징을 진행하고 있는 랜섬웨어이기도 합니다. 

최근 개인과 기업들이 랜섬웨어에 대응하여 여러가지 백업조치를 마련하고 있어, 이전과 비교하여 랜섬웨어 감염이 발생하더라도 복호화 비용을 지불하지 않는 케이스가 증가하고 있는 추세임을 공격자들은 포착하고 Sodinokibi에 감염된 데이터를 복호화하지 않을 경우 해당 데이터나 기업명을 공개하는 등 공격 수위를 계속 높이고 있기 때문에 주의가 필요합니다.

알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Sodinokibi'로 탐지중에 있으며, 관련 상세 IoC 정보는 인텔리전스 서비스인 'Threat Inside'를 통해 확인하실 수 있습니다.