상세 컨텐츠

본문 제목

Dharma 랜섬웨어 소스 코드, 공개 해킹 포럼에 등장해

국내외 보안동향

by 알약(Alyac) 2020. 3. 31. 09:04

본문

Source code of Dharma ransomware now surfacing on public hacking forums


악명높은 Dharma 랜섬웨어의 소스코드가 러시아어 해킹 포럼 2 곳에서 판매를 시작했습니다.


<이미지 출처 : https://securityaffairs.co/wordpress/100712/breaking-news/dharma-ransomware-source-code.html>


Dharma 랜섬웨어는 지난 2016년 2월 처음 등장했으며, 전문가들은 Crysis라 명명했습니다.


Crysis 랜섬웨어는 ESET에서 처음 발견했으며 주로 러시아, 일본, 남한, 북한, 브라질의 시스템을 감염시켰습니다.


당시 공격자는 이중 확장자를 사용하는 이메일 첨부파일이나 악성 링크를 통해 이 랜섬웨어를 배포했습니다.

2016년 11월, Crysis의 마스터 암호화 키가 온라인에 공개되었으며 Crysis 버전 2,3에 피해를 입은 사람들은 파일을 복호화 할 수 있었습니다.


Crysis 랜섬웨어의 복호화 키는 BleepingComputer.com 포럼에 사용자 crss7777이 올려 공개되었습니다. 그는 실제 마스터 복호화 키와 이를 활용하는 방법이 담긴 C 헤더파일에 대한 링크를 공개했습니다. 한 전문가는 그가 개발 팀의 멤버일 것으로 추측했습니다.


몇 주 후, CrySis RaaS는 Dharma라는 이름으로 재 출시되었습니다.


ZDNET에 따르면, 이 코드의 소스는 2천달러로 매우 저렴합니다.


랜섬웨어 전문가들은 “Dharma 랜섬웨어 코드 판매가 시작되어 결국 공개 인터넷과 더 많은 사람들에게 유출될 가능성이 있다”며 “결과적으로 공격이 급증하게 될 것이다”라고 예측했습니다.


소스코드를 온라인으로 얻을 수 있게 되면, 공격자가 이를 이용하여 자신만의 버전을 만들어 배포할 수 있게 됩니다.


Dharma 랜섬웨어는 수 년에 걸쳐 수 많은 업데이트를 받았습니다. 2019년에는 Phobos라는 새로운 랜섬웨어가 온라인에 등장했습니다.


Malwarebytes에 따르면, Phobos 랜섬웨어는 Dharma 랜섬웨어와 거의 동일했으며, 이 두 랜섬웨어 모두 2019년까지 계속 활동했습니다.


McAfee의 사이버 조사 책임자인 John Fokker는 Dharma 랜섬웨어의 코드가 이미 언더그라운드 해커 포럼에서 한동안 돌고 있었으며, 이제서야 공개 포럼에 올라오기 시작한 것이라 밝혔습니다.





출처 :

https://securityaffairs.co/wordpress/100712/breaking-news/dharma-ransomware-source-code.html



관련글 더보기

댓글 영역