데이터를 노리는 최신 랜섬웨어인 Kupidon

Kupidon is the latest ransomware targeting your data

기업 네트워크뿐 아니라 개인 사용자의 데이터도 노리는 새로운 랜섬웨어인 Kupidon이 발견되었습니다.

지난 5월 9일 MalwareHunterTeam이 처음으로 발견한 이 랜섬웨어는 ID-Ransomware 서비스에 처음 등록된 후 급격히 확산되기 시작했습니다.

 

<Kupidon의 ID-Ransomware 등록 건수>

<이미지 출처: https://www.bleepingcomputer.com/news/security/kupidon-is-the-latest-ransomware-targeting-your-data/>

아직까지 이 랜섬웨어의 샘플은 발견되지 않은 상태이지만 피해자의 증언 및 업로드된 파일을 기반으로 일반적인 정보를 알아낼 수 있었습니다.

이 랜섬웨어는 개인 및 기업 유저를 모두 공격하며 노출된 RDP 서버를 통해 공격하는 것으로 보입니다.

공격자는 일단 접근 권한을 얻는데 성공하면 피해자 컴퓨터의 파일을 수동으로 암호화합니다. 파일을 암호화한 후 파일명에 .kupidon 확장자를 붙입니다.

예를 들어 'JM tag.jpg' 파일은 'JM tag.jpg.kupidon'으로 암호화될 것입니다.

 

<Cupidon으로 암호화된 파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/kupidon-is-the-latest-ransomware-targeting-your-data/>

파일 암호화가 수행된 각 폴더에는 랜섬노트인 '!KUPIDON_DECRYPT.TXT'가 생성됩니다.

피해자가 기업 또는 개인이냐에 따라 랜섬노트의 내용과 랜섬머니 금액에 약간 차이가 있는 것으로 나타났습니다.

예를 들어, 피해자가 기업일 경우 약 1,200달러 상당의 비트코인을 요구하고 피해자를 ‘상업인’으로 식별합니다. 아래는 기업 피해자가 받은 랜섬노트입니다.

<Cupidon 랜섬노트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/kupidon-is-the-latest-ransomware-targeting-your-data/>

다른 랜섬웨어와 비교해 금액이 크지는 않지만, 여전히 피해자가 지불하기에 적지는 않은 금액입니다.

이 두 랜섬노트는 모두 사용자를 피해자의 파일에 무슨 일이 발생했는지 돈을 지불하기 위한 지침을 얻기 위해 연락할 수 있는 이메일 주소를 포함한 TOR 사이트로 안내합니다. 

현재 TOR 사이트에서 사용되고 있는 이메일은 ann4.orlova.892@yandex.ru입니다.

 

<Kupidon TOR 사이트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/kupidon-is-the-latest-ransomware-targeting-your-data/>

피해자가 돈을 지불할 경우, 아래와 같이 AES 복호화 키 및 'Kupidon Virus Decryptor' 복호화 툴을 보내준다고 명시되어 있습니다.

 

<Kupidon 복호화 툴>

<이미지 출처: https://www.bleepingcomputer.com/news/security/kupidon-is-the-latest-ransomware-targeting-your-data/>

피해자는 이 툴을 사용하여 파일을 복호화할 수 있는 것으로 알려져 있지만 BleepingComputer에서 직접 확인할 수는 없었습니다.

아직까지 Kupidon 랜섬웨어의 샘플을 발견하지 못한 관계로 취약점 탐색을 위한 연구를 진행할 수는 없는 상태입니다.

출처:

https://www.bleepingcomputer.com/news/security/kupidon-is-the-latest-ransomware-targeting-your-data/