포스팅 내용

국내외 보안동향

RansomExx 랜섬웨어, 리눅스 시스템 노려

RansomExx ransomware now targets also Linux systems

 

RansomExx 랜섬웨어 운영자가 악성코드의 리눅스 버전을 개발해 운영을 확대하고 있는 것으로 나타났습니다.

 

Kaspersky의 연구원들은 RansomExx 랜섬웨어의(Defray777로도 알려짐) 리눅스 버전을 분석했습니다.

 

이번 주, RansomExx 랜섬웨어는 브라질의 고등 법원을 공격한 것으로 나타났습니다.

 

RansomExx는 사람이 개입하는 랜섬웨어로 공격자가 타깃 네트워크로의 접근 권한을 얻은 후 수동으로 시스템을 감염시킵니다.

 

20206, 텍사스의 교통부를 노린 공격에 동일한 랜섬웨어가 사용되었습니다. 8월에는 다국적 기술 기업인 Konica Minolta의 시스템을 감염시켰으며, 9월에는 고성능 레이저 기발 업체인 IPG Photonics와 소프트웨어 제공 업체인 Tyler Technologies의 시스템을 감염시켰습니다.

 

최근 발견된 RansomExx 랜섬웨어의 리눅스 버전은 ‘svc-new’라는 이름을 사용한 ELF 실행파일로 빌드되었습니다. 이는 타깃 서버를 암호화합니다.

 

카스퍼스키는 보고서를 통해 아래와 같이 밝혔습니다.

 

초기 분석 후 트로이목마의 코드, 랜섬노트의 문구, 협박 전략이 유사함을 발견했습니다. 이로써 이미 알려진 랜섬웨어 패밀리인 RansomEXX의 리눅스 빌드였음을 알 수 있었습니다.”

 

트로이목마가 시작되면 이는 ECB 모드에서 AES 블록 암호를 통해 찾을 수 있는 모든 파일을 암호화하는데 사용되는 256비트 키를 생성합니다.

 

AES 키는 RSA-4096으로 암호화되며, 암호화된 모든 파일에 추가됩니다.

 

전문가들은 이 랜섬웨어에 C2 통신, 분석 방지 기능, 프로세스 킬 등 다른 트로이목마에는 구현된 추가 기능이 부족하다고 지적했습니다.

 

윈도우 버전과는 달리 리눅스 버전은 여유 공간을 지우지는 않습니다.

 

연구원들은 피해자가 랜섬머니를 지불하면 RSA-4096 개인 키와 암호화된 파일 확장자가 내장된 실행파일의 형태로 리눅스, 윈도우 복호화 툴을 모두 받을 수 있음을 발견했습니다.

 

이 랜섬웨어의 윈도우 버전과 리눅스 버전은 다른 컴파일러를 사용하여 빌드되었지만, 유사한 점은 분명히 있습니다.