유료SW 크랙버전을 사칭하여 유튜브를 통해 유포가 이뤄진 Ravack 랜섬웨어 주의!

안녕하세요. 

ESRC(시큐리티대응센터)입니다.

최근 해외 유튜브 동영상 포스팅 하단의 설명부 링크를 악용하여 유포중인 RAVACK 랜섬웨어가 확인되어 주의가 필요합니다.

해당 랜섬웨어는 해외 유튜브 계정에 업로드된 유료SW의 크랙버전 및 activation 소개 영상물을 통해 유포가 이뤄집니다.   

[그림 1] 유튜브에 유료SW 크랙버전을 설치하는 동영상을 올리고 하단에 다운로드 주소와 패스워드를 업로드

즉, 유튜브 영상 하단의 내용 설명란에 작성되어 있는 구글드라이브 다운로드 링크를 사용자가 클릭하여 암호가 걸린 파일을 다운로드합니다. 다운로드한 파일은 유료SW 크랙버전으로 사칭하고 있으며, 사용자가 악성코드 링크와 함께 기재된 패스워드를 암호로 입력하게 되면 압축이 풀리고 사용자는 랜섬웨어 감염에 노출됩니다.

[그림 2] 구글 드라이브를 통해 다운로드 받은 압축파일에 포함된 랜섬웨어

일단 파일을 실행하게 되면, 공격자 C&C서버로 접속하여 추가파일을 다운로드 시도하여 사용자PC관련 정보를 수집 및 전송 시도하며, 크랙된 유료 SW이름으로 위장한 랜섬웨어가 실행되어 파일 암호화를 진행하게 되는데, 이때 암호화시킨 파일 확장명은 .ravack으로 변경됩니다. 

[그림 3] 비디오편집SW / 백신SW 크랙 파일로 위장한 랜섬웨어

이 랜섬웨어는 파일 암호화 작업을 진행하면서 랜섬노트 파일(HELP_ME_RECOVER_MY_FILES)을 생성하고 또한 바탕화면 배경파일을 외부로부터 다운로드 받아 바탕화면을 다음과 같이 변경합니다.

[그림 4] 파일 암호화작업 수행과 함게 생성되는 RAVACK 랜섬웨어 랜섬노트

[그림 5] RAVACK 랜섬웨어에 의해 변경된 윈도우 바탕화면

공격자들은 SNS와 같이 사용자들이 많이 접속하는 사이트를 C&C서버로 이용하거나 공격 유포 통로로 활용하는 시도를 계속 진행하고 있습니다. 

특히 작년부터 가짜 사이트 / 포럼 / 커뮤니티 등에 사용자들이 관심가질 만한 내용을 올리고 유튜브나 SNS로 이동시킨 후 추가파일을 다운로드 받게 하는 공격의 빈도가 더욱 높아지고 있기 때문에 주의가 필요합니다.

이번 랜섬웨어 유포 케이스를 살펴보면 비디오편집 SW 및 백신SW 라이선스 키 인증 및 크랙버전에 대한 소개&설치 동영상을 유튜브에 올리고 관련 설명란을 악용하였습니다. 

이 부분은 2019년 특정 공격조직이 조작된 앱을 구글플레이에 업로드하고, 그 앱에 대한 설명을 하는 유튜브 동영상을 만들어 하단 설명란을 통해 악성앱을 다운로드 받도록 유도했던 방식과도 흡사해 보입니다. 또한 해당 SW의 크랙버전을 찾는 사용자들의 검색을 통한 유입 등도 노린 것으로 보입니다. 

해당 영상이 업로드된 유튜브 계정의 경우 랜섬웨어 유포를 위해 새로 개설한 계정이 아니라 기존에 활동하던 유튜브 계정 정보를 공격자가 탈취하여 공격에 활용한 것으로 판단됩니다. 

SNS나 유튜브 등 링크 클릭을 유도하는 포스팅을 확인할 경우 주의 깊게 살펴보셔야 하며 특히 특정 프로그램 설치를 유도하는 경우에는 되도록 클릭을 지양하시고 ESRC (esrc@estsecurity.com)으로 신고해주시면 빠르게 대응해드리도록 하겠습니다. 또한 SW의 불법 사용 및 라이선스 우회 인증 키 사용 등은 악성코드 감염에 노출되기 가장 쉬운 지름길임을 다시 한번 상기해주시기 바랍니다.

알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Ravack으로 대응중입니다.