상세 컨텐츠

본문 제목

ProLock 랜섬웨어, 네트워크 접근을 위해 QakBot 트로이목마와 협업

국내외 보안동향

by 알약(Alyac) 2020. 5. 15. 15:00

본문

ProLock Ransomware teams up with QakBot trojan for network access


ProLock은 비교적 새로운 악성코드지만, 기업 및 지방 정부를 대상으로 파일 복호화에 엄청난 금액을 요구함으로써 빠르게 주목 받고 있습니다.


가장 최근 이 악성코드의 피해를 입은 기업은 ATM 제공 업체로 알려진 Diebold Nixdorf입니다.


공격은 암호화 단계 이전에 발각되었으며 시스템에 아무런 영향을 미치지 못했습니다. 하지만 기업 네트워크에는 영향을 미쳐 일부 시스템 장애가 있었습니다.



평균 가격


이 랜섬웨어 패밀리는 PwndLocker로 시작되었지만 지난 3월 파일을 무료로 복호화할 수 있었던 취약점를 수정한 후 ProLocker로 리브랜딩 되었습니다.


BleepingComputer의 연구에 따르면, ProLock은 네트워크 규모에 따라 $175,000 ~ $660,000 상당의 랜섬머니를 요구했습니다.


하지만 ProLock에서 사용하는 기술은 Sodinokibi와 Maze 등 다른 유명 랜섬웨어 그룹과 유사했습니다.



QakBot과 RDP를 통해 해킹돼


연구원들은 이 그룹이 서드파티 개인을 통해 운영에 대한 지원을 받고 있다고 추측했습니다.


ProLock은 침투를 위해 아래 2가지 방법을 사용합니다.

QakBot(QBot) – 이전에 MegaCortex 랜섬웨어와 협력한 사례가 있습니다.

원격 데스크톱(RDP) – 인터넷에 공개된 RDP 서버를 통해 접근합니다.



인터넷에 공개된 RDP 서버를 통해 접근하는 것은 많은 랜섬웨어 운영자가 사용하는 흔한 기술입니다. 


보통 이러한 접근 방식은 서드파티를 통해 구매하거나, 그룹 멤버를 통해 얻을 수도 있습니다.


Ryuk이 TrickBot을 사용하고, DoppelPaymer/BitPaymer가 Dridex를 통해 네트워크에 접근하는 것 처럼 ProLock 또한 접근을 위해 QakBot을 사용합니다.


QakBot은 피싱 캠페인을 통해 확산되는 뱅킹 트로이목마로, 주로 기업에 악성 마이크로소프트 워드 문서를 전달합니다. 과거 Emotet 봇넷이 이 악성코드를 배포하는 것이 포착되었습니다.


연구원들은 QakBot과 ProLock이 모두 페이로드 실행을 위해 PowerShell을 사용한다고 밝혔습니다. 


뱅킹 악성코드는 악성 매크로를 사용하고, 랜섬웨어는 JPG나 BMP 이미지 파일에서 추출한 코드를 사용합니다.



<ProLock 바이너리가 포함된 이미지>

<이미지 출처: https://www.bleepingcomputer.com/news/security/prolock-ransomware-teams-up-with-qakbot-trojan-for-network-access/>



ProLock 운영자가 RDP 접근을 통해 피해자에게 접근할 경우, 유효한 계정을 통해 지속성을 얻을 수 있습니다. 


QakBot은 여러 방식을 사용하지만 가장 많이 사용되는 방식은 실행 키와 예약 작업입니다.


Group-ib에 따르면, QakBot이 ProLock이 사용할 공간을 만들기까지 약 일주일이 소요됩니다. 


연구원은 트로이목마가 랜섬웨어를 설치하지는 않지만 클라우드 스토리지 저장소로부터 배치 스크립트를 다운로드 및 실행한다고 밝혔습니다.



측면 이동 및 파일 유출


운영자가 일부 서버에 대한 크리덴셜을 얻은 후 측면 이동이 시작됩니다. 보통 정찰을 위한 RDP 접근은 PsExec로 실행되는 스크립트를 통해 가능합니다.


이 랜섬웨어는 이후 WMI(Windows Management Instrumentation)용 명령줄 라인 인터페이스를 통해 배포됩니다.


ProLock 운영자는 유행에 따라 해킹한 네트워크에서 피해자의 데이터를 훔칩니다. 


훔친 파일은 7-zip으로 압축되어 다양한 클라우드 스토리지 공간에 업로드됩니다.(OneDrive, Google Drive, Mega)


파일을 탈취한 후 운영자는 PowerShell 스크립트를 실행해 이미지 파일에 내장된 ProLock 바이너리를 추출합니다.


그리고 기업 네트워크 내 접근 가능한 시스템을 암호화하기 위해 이를 전파합니다.


암호화된 파일은 확장자 .proLock, .pr0Lock, .proL0ck, .key, .pwnd를 붙이며, 모든 폴더에 랜섬노트를 드롭합니다.



<이미지 출처: https://www.group-ib.com/blog/prolock>



현재 ProLock 관련 ‘유출 사이트’는 없지만, 가까운 시일 내 생성될 가능성이 있는 것으로 보입니다.

자세한 내용은 Group-ib의 보고서에서 확인하실 수 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/prolock-ransomware-teams-up-with-qakbot-trojan-for-network-access/

https://www.group-ib.com/blog/prolock

관련글 더보기

댓글 영역