Snake 랜섬웨어, 파일 암호화 전 감염된 시스템 분리시켜

Snake Ransomware isolates infected Systems before encrypting files

사이버 보안 회사인 Deep Instinct의 전문가들이 최근 간섭 없이 파일을 암호화하기 위해 감염된 시스템을 분리하는 Snake 랜섬웨어(EKANS로도 알려짐) 샘플을 발견했습니다.

지난 1월, SentinelOne의 전문가들은 산업 제어 시스템(ICS)과 관련된 프로세스 및 파일을 노리는 Snake 랜섬웨어를 발견했습니다.

이 범죄 집단은 5월 4일 전 세계 조직을 노린 대규모 캠페인을 실행한 후, 코로나19가 유행하기 시작하고 활동이 비교적 잠잠했습니다.

Snake 랜섬웨어는 유럽 최대 규모 헬스케어 업체인 Fresenius Group와 일본 자동차 업체인 Honda를 노린 랜섬웨어 공격에 사용된 것으로 의심됩니다.

Snake 랜섬웨어는 파일을 암호화하기 위해 ICS와 관련된 프로세스를 포함하여 선정의된 목록에 있는 프로세스를 종료합니다.

최근 공격에 사용된 Snake 샘플은 방화벽을 활성화/비활성화할 수 있으며, 시스템으로의 원치 않는 연결을 차단하는 특정 명령을 사용할 수 있습니다.

사이버 보안 회사인 Deep Instinct는 분석을 통해 아래와 같이 밝혔습니다.

“암호화를 시작하기 전 Snake는 방화벽에서 구성되지 않은 송/수신되는 모든 네트워크 연결을 피해자의 기기에서 차단하기 위해 윈도우 방화벽을 활용할 것입니다. 이를 위해 윈도우 내장 netsh 툴이 사용될 것입니다.”

“외부에서 분리된 후 Snake는 암호화를 방해할 것으로 예상되는 하드코딩된 프로세스를 모두 종료합니다. 이 목록에는 산업계, 보안, 백업 솔루션과 관련된 프로세스가 포함되어 있습니다.”

이후 악성코드는 피해자가 파일을 복구하지 못하도록 섀도 복사본 또한 삭제합니다.

“모든 준비가 완료되면 랜섬웨어는 암호화 프로세스를 시작할 것입니다.”

“중요한 폴더와 파일을 포함한 일부 시스템을 제외하고 Snake의 하드코딩된 목록에 포함된 모든 파일이 암호화될 것입니다. 이 목록은 문서, 가상화, 데이터베이스, 아카이브 확장자 등이 포함됩니다.”

이 악성코드는 암호화된 파일의 확장자로 랜덤 문자열 5개를 붙이고, 파일의 끝에 EKANS를 추가합니다. 예를 들면, encrypt_me.txt 파일은 encrypt_me.txtDwtwx와 같이 이름이 변경됩니다.

 

<이미지 출처: https://securityaffairs.co/wordpress/105572/malware/snake-ransomware-isolates-systems.html>

“랜섬웨어의 컨셉은 단순합니다. 피해자의 파일을 암호화하고 돈을 지불하기를 기다리는 것입니다. 이 컨셉은 여러 해 동안 변경되지 않았습니다. 랜섬웨어 공격자는 더욱 정교한 타깃 공격을 실행하고 있으며 우선 순위를 변경하고 전술과 공격 규모는 더욱 진화하고 있습니다.”

현재 알약에서는 해당 랜섬웨어 샘플에 대해 'Trojan.Ransom.Filecoder'으로 탐지 중에 있습니다.

출처:

https://securityaffairs.co/wordpress/105572/malware/snake-ransomware-isolates-systems.html

https://www.deepinstinct.com/2020/06/29/the-snake-attacks-holding-the-industrial-sector-ransom/