상세 컨텐츠

본문 제목

서비스형 랜섬웨어인 FONIX, 과소평가 되어서는 안돼

국내외 보안동향

by 알약4 2020. 10. 12. 14:00

본문

Underestimating the FONIX – Ransomware as a Service could be an error

 

FONIX는 비교적 새로운 서비스형 랜섬웨어입니다. 운영자는 랜섬웨어를 운영하기 전에는 바이너리 크립터/패커를 전문으로 개발했습니다.

 

FONIX 서비스형 랜섬웨어 운영자들은 다양한 사이버 범죄 포럼에서 여러 제품을 광고했습니다.

 

FONIX는 지난 20207월 처음으로 등장했으며 다행히도 감염 수는 적은 편입니다.

 

전문가들은 이 랜섬웨어의 제작자들이 제휴 파트너들에게 수수료를 요구하지 않고 제휴 네트워크의 랜섬 중 일부만 챙겨간다는 점을 지적했습니다.

 

하지만 보안 업체와 당국에서 FONIX RaaS를 과소평가할 경우 이는 빠르게 확산될 수 있을 것이라 예상했습니다.

 

“FONIX는 각 파일을 암호화하는데 4가지 방법을 사용하고 감염 후 사이클이 지나치게 복잡해 다른 RaaS와는 많이 다릅니다.”

 

 

<이미지 출처: https://labs.sentinelone.com/the-fonix-raas-new-low-key-threat-with-unnecessary-complexities/>

 

 

RaaS 운영자와는 이메일을 통해 연락할 수 있습니다. 모든 제휴 파트너는 피해자를 위한 암호 복호화 툴과 키를 얻어내기 위해 운영자에게 피해자의 파일을 보내야 합니다. 운영자는 랜섬머니의 25%를 챙겨갑니다.

 

“FONIX의 제휴 파트너는 처음부터 복호화 툴이나 키를 제공받지 않습니다. 대신 피해자가 이메일을 통해 제휴 파트너(구매자)에게 먼저 연락해야 합니다. 이후 파트너는 피해자에게 복호화할 파일 2개를 요청합니다. 하나는 피해자에게 파일 복호화에 대한 증거를 보여주기 위한 것이며, 다른 하나는 감염된 호스트의 “cpriv.key” 파일입니다. 그런 다음 파트너는 이 파일을 받아 FONIX 개발자에게 보내야 합니다. 개발자들은 이 파일을 복호화한 후 피해자에게로 다시 전송합니다.”


“피해자는 파트너의 비트코인 지갑으로 돈을 지불하고, 파트너는 25%를 FONIX 제작자에게 지급합니다.”

 

당연하게도 이 모든 과정은 다른 대부분의 서비스형 랜섬웨어와 비교할 경우 매우 복잡하고 운영이 불편합니다.

 

FONIX 랜섬웨어는 윈도우 시스템만을 노리며 기본적으로 중요한 윈도우 OS 파일을 제외한 모든 파일 형식을 암호화합니다.

 

이 랜섬웨어는 피해자의 파일을 암호화하기 위해 AES, Chacha, RSA, Salsa20을 조합하여 사용합니다. 파일을 암호화한 후 .XINOF 확장자를 추가합니다.

 

전문가들은 이 랜섬웨어가 여러 암호화 프로토콜을 사용하기 때문에 다른 랜섬웨어보다 암호화 속도가 현저히 느리다고 지적했습니다.

 

관리자 권한으로 페이로드를 실행할 경우 시스템이 아래와 같이 변경됩니다.

 

- 작업 매니저 비활성화

- 예약 작업, 시작 폴더, 레지스트리 (Run, RunOnce)를 통해 지속성 달성

- 시스템 파일 권한 수정됨

- 페이로드의 영구 복사본의 속성이 숨김으로 설정됨

- 지속성을 위해 히든 서비스가 생성됨 (윈도우 10)

- 드라이브 및 볼륨 레이블이 “XINOF”로 변경됨

- 볼륨 섀도우 복사본이 삭제됨 (vssadmin, wmic)

- 시스템 복구 옵션이 조작/비활성화 됨 (bcdedit)

- Safeboot 옵션이 조작됨

 

“FONIX 감염은 시스템 파일을 제외한 모든 파일을 암호화하여 꽤 공격적이며, 기기 전체가 암호화될 경우 복구가 어렵습니다. 현재로써는 랜섬머니 이외에 데이터를 훔친 후 공개적으로 노출, DDoS 공격 협박 등은 하지 않는 것으로 보입니다.”

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Fonix’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/109369/cyber-crime/fonix-raas.html

https://labs.sentinelone.com/the-fonix-raas-new-low-key-threat-with-unnecessary-complexities/


관련글 더보기

댓글 영역