가짜 프로그램 업데이트를 통해 배포되는 새로운 WastedLocker 랜섬웨어 발견

New WastedLocker Ransomware distributed via fake program updates

러시안 사이버범죄 그룹인 Evil Corp가 새로운 랜섬웨어인 WastedLocker를 사용하기 시작한 것으로 나타났습니다. 이 랜섬웨어는 기업을 노린 타깃 공격에 사용됩니다.

Indrik Spider라고도 알려진 Evil Corp 범죄 그룹은 ZeuS 봇넷의 제휴 파트너로 시작되었습니다. 

시간이 지남에 따라, 이들은 피싱 이메일을 통해 뱅킹 트로이목마와 Dridex 다운로더를 배포하는데 집중했습니다.

이들의 공격이 진화함에 따라 그룹은 기업 네트워크를 노린 타깃 공격에서 Dridex 악성코드를 통해 배포되는 BitPaymer라는 랜섬웨어를 만들었습니다.

NCC 그룹의 Fox-IT 보안 연구 팀의 새로운 보고서에 따르면, Evil Corp 멤버 Igor Olegovich Turashev와 Maksim Viktorovich Yakubets가 기소된 후 해킹 그룹은 전술을 재구성하기 시작했습니다.

Evil Corp는 이 과정 중 기업을 노린 공격을 통해 새로운 랜섬웨어인 WastedLocker를 배포하기 시작했습니다.

“EvilCorp는 인프라를 기준으로 랜섬웨어를 배포할 대상을 선택합니다. 일반적으로 이들은 파일 서버, 데이터베이스 서비스, 가상 머신 및 클라우드 환경을 공격합니다. 백업 애플리케이션과 관련 인프라를 비활성화하거나 방해할 수 있어야 한다는 전제조건이 붙습니다.”

랜섬웨어 배포를 위해 공격자는 사이트를 해킹해 SocGholish 가짜 업데이트 프레임워크에서 가짜 소프트웨어 업데이트 경고창을 표시하는 악성코드를 삽입합니다.

<가짜 소프트웨어 업데이트 경고창>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates/>

이 공격에서 전달되는 페이로드 중 하나는 침투 테스트 및 해킹 후 사용되는 툴킷인 Cobalt Strike로, Evil Corp는 감염된 기기에 접근 권한을 얻기 위해 이 툴을 사용합니다.

그다음 공격자는 이 액세스 권한을 통해 네트워크를 해킹하여 WastedLocker 랜섬웨어를 배포합니다.

Fox-IT는 Evil Corp에서 분리된 그룹이 만든 DoppelPaymer 공격과는 다르게 WastedLocker는 암호화하기 전 데이터를 훔치지는 않는 것으로 보인다고 밝혔습니다.

WastedLocker 테스트 및 분석

WastedLocker 랜섬웨어가 시작되면 C:\Windows\System32에서 랜덤으로 EXE나 DLL 파일을 뽑아 해당 파일의 이름으로 확장자가 없는 새로운 파일을 만들어 %AppData% 폴더에 저장합니다.

<%AppData% 내 랜섬웨어 실행파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates/>

이 파일에는 곧 실행될 ‘bin’이라는 대체 데이터 스트림이 포함되어 있습니다.

 

<대체 데이터 스트림>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates/>

Fox-IT에 따르면, 이 랜섬웨어가 일단 실행되면 특정 폴더의 파일 및 특정 확장자를 제외한 컴퓨터 내 모든 드라이브를 암호화하려 시도합니다.

“WastedLocker는 타깃 목록 대신 제외할 폴더 및 확장자 목록을 포함하고 있었습니다. 10바이트 이하 파일 또한 무시되며, 크기가 큰 파일일 경우 64MB로 나뉘어 암호화됩니다.”

이 공격은 타깃형으로, 랜섬웨어는 기업을 공격할 목적으로 구축되었습니다.

이 랜섬웨어는 피해자의 파일을 암호화한 후 ‘wasted’라는 문자열과 회사의 이니셜을 결합한 확장자를 붙입니다.

예를 들어, 아래 샘플에서 확인할 수 있는 확장자는 .eswasted로 ‘es’는 피해자의 이니셜입니다. 예를 들어 Acme Corporation이 해킹될 경우 확장자는 .acwasted가 될 것입니다.

 

<WastedLocker로 암호화된 파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates/>

WastedLocker는 이후 _info로 끝나는 랜섬노트를 생성합니다. 예를 들어, Acme Corporation의 파일이 암호화된 경우, 1.doc 파일은 1.doc.acwasted가 될 것이며, 랜섬노트는 1.jpg.acwasted_info가 될 것입니다.

<WastedLocker 랜섬노트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates/>

이 확장자 파일은 .txt 파일과는 다르게 자동으로 열 수 없기 때문에, 이 전략은 다소 이상하게 느껴집니다.

이 랜섬노트에는 protonmail.com 및 tutanota.com 이메일 주소와 랜섬머니를 문의하기위한 지침이 포함되어 있습니다.

Antenucci는 랜섬머니에 대해 50만~수백만 달러에 이른다고 설명했습니다.

현재 WastedLocker에서는 아무런 보안 취약점이 발견되지 않아 파일을 무료로 복호화할 수 있는 방법은 없습니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.WastedLocker, Trojan.Agent.Zenpak, Spyware.Ursnif' 등으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates/

https://research.nccgroup.com/2020/06/23/wastedlocker-a-new-ransomware-variant-developed-by-the-evil-corp-group/