WannaRen 랜섬웨어 제작자, 보안 업체에 복호화 키 공개해

WannaRen ransomware author contacts security firm to share decryption key

 

<이미지 출처: QiAnXin>

 

 

올해 4월, 중국의 인터넷 사용자들을 공격한 대규모 랜섬웨어 사건이 있었습니다. WannaRen으로 알려진 이 랜섬웨어는 약 일주일 동안 일반 가정, 중국과 대만 현지 기업을 포함한 수 만명의 피해자를 감염시켰습니다.

 

WannaRen은 2017년 5월 전 세계를 감염시켰던 WannaCry를 대충 모델링한 것으로 추측됩니다.

 

WannaRen 랜섬웨어는 EternalBlue 익스플로잇을 감염 체인에 통합하여 파일을 암호화하기 전 아무런 제약 없이 기업 네트워크를 통해 확산되도록 했습니다.

 

WannaCry와 마찬가지로 WannaRen 또한 산불처럼 급격히 확산되어 제작자의 예상보다 더욱 큰 혼란을 불러 일으켰습니다. 결국 제작자는 복호화 키를 무료로 공개해 모든 피해자가 파일을 무료로 복호화할 수 있게 되었습니다.

 

HIDDEN SHADOW 악성코드 그룹

 

사건이 발생하고 3년 후, WannaCry가 북한 정부 해커에 의해 개발되었으며 평양 정권을 위한 기금을 마련하는 것이 목표였을 것이라 추측할 수 있었습니다. WannaCry 제작자는 야망이 그리 크지 않았으며, 전 세계적인 유행을 의도하지도 않았습니다.

 

중국의 안티바이러스 제작 업체인 Qihoo 360은 WannaRen 랜섬웨어의 제작자들도 마찬가지일 것이라 밝혔습니다.

 

이 그룹은 소규모 공격자로 알려져 있으며 수 년간 해적판 소프트웨어 다운로드 사이트를 통해 다양한 악성코드를 배포하는데 사용되어 왔습니다.

 

이들은 과거에 패스워드 스틸러, 키로거, 원격 접속 트로이목마, 가상화폐 채굴 악성코드 등을 배포했습니다.

 

WannaRen은 그룹의 무기 목록에 추가되어 올해 4월 4일 배포 루틴에 포함되었습니다.

 

여러 출처에 따르면, WannaRen의 초기 배포 지점은 Xixi 소프트웨어 센터를 통해 공유된 Notepad++ 텍스트 편집기 인스톨러의 수정된 버전이었습니다.

 

<이미지 출처: ITnews>

 

 

공식 Notepad++ 소프트웨어의 제작 업체는 중국에 반대하는 입장을 취하고 있기 때문에 Notepad++의 다운로드 사이트는 종종 중국에서 차단됩니다. 또한 XiXi는 중국에서 가장 규모가 큰 소프트웨어 다운로드 사이트이기 때문에 WannaRen 감염은 순식간에 급증한 것으로 나타났습니다.

 

현지 언론에 따르면, 중국의 수 천 인터넷 사용자들은 중국의 포럼, 소셜 네트워크, 온라인 챗 등에 파일을 해독을 위한 도움을 요청하기 시작했습니다.

 

HIDDEN SHADOW 악성코드, 네트워크 전체에 측면 확산

 

도움을 요청한 많은 사용자들은 일반 가정 사용자였으며, WannaRen이 특히 공격적이었던 기업 네트워크를 관리하는 IT 관리자 다수 또한 이 악성코드에 대한 도움을 요청했습니다.

 

이유는 WannaRen의 감염 루틴 때문인 것으로 추측됩니다.

 

사용자가 함정이 포함된 Notepad++ 버전을 컴퓨터에 설치하면, 해당 인스톨러는 백도어 트로이목마를 드롭하고 네트워크 전체에 측면 확산되고(SMBv1을 통함), WannaRen 랜섬웨어 또는 모네로 채굴 모듈을 다운로드 및 설치하는 PowerShell 스크립트를 사용했습니다.

 

 

<출처: Qihoo 360>

 

 

이 랜섬웨어는 사용자의 컴퓨터를 잠그는데 성공하면 김정은의 그림과 함께 사용자에게 파일 복호화를 위한 랜섬머니로 0.05비트코인(~$550)을 요구하는 메시지를 표시합니다.

 

이 랜섬웨어의 공격을 받은 컴퓨터는 모두 파일이 암호화된 후 ".wannaren" 확장자가 추가되었기 때문에 식별이 간단했습니다.

 

 

 

<이미지 출처: Weibo>

 

 

WANNAREN 제작자, 복호화 키 무료로 제공해

 

WannaRen의 배포 방식과 비교적 낮은 랜섬머니로 미루어볼 때, Hidden Shadow 그룹은 랜섬웨어가 이토록 빠르고 광범위하게 확산될 것으로 예상하지 못했던 것이 분명했습니다.

 

Hidden Shadow 그룹은 WannaRen을 배포한지 일주일도 채 되지 않아 중국 당국의 단속을 두려워한 것으로 보입니다. 따라서 이들은 현지 사이버 보안 회사인 Huorong Security (火 绒 또는 Tinder Security)에 연락을 취했습니다.

 

회사가 온라인으로 공유한 이메일에 따르면, WannaRen 작성자는 랜섬웨어의 개인 암호화 키(마스터 복호화 키)를 Huorong의 직원에게 공유하며 피해자가 파일을 무료로 복호화할 수 있는 복호화 툴을 생성해 배포할 것을 요청했습니다.

 

<이미지 출처: Huorong Security>

 

 

같은 날인 4월 9일, Huorong은 WannaRen 복호화 유틸리티를 공개했습니다. QiAnXin Technology 산하 사이버 보안 부서인 RedDrip 또한 몇시간 후 유사한 복호화 유틸리티를 공개했습니다.

 

중국의 많은 회사들이 이 회사에서 만든 무료 복호화 툴에 대해 알지 못하거나 신뢰하지 못할 수 있기 때문에, 루마니아의 안티바이러스 제작 업체인 BitDefender 또한 WannaRen 복호화 툴을 공개했습니다.

 

현재 WannaRen 감염은 더 이상 발생하지 않는 것으로 보입니다. 4월에 파일이 암호화된 사용자들은 이제 무료로 파일을 복호화할 수 있게 되었습니다.

 

 

출처:

https://www.zdnet.com/article/wannaren-ransomware-author-contacts-security-firm-to-share-decryption-key/

http://bbs.huorong.cn/forum.php?mod=viewthread&tid=68350

https://labs.bitdefender.com/2020/08/wannaren-decryption-tool/