포스팅 내용

국내외 보안동향

새로운 Pay2Key 랜섬웨어, 네트워크를 단 1시간 만에 암호화해

New Pay2Key ransomware encrypts networks within one hour

 

이스라엘과 브라질을 노리는 새로운 랜섬웨어인 Pay2Key가 발견되었습니다. 이 랜섬웨어는 타깃 공격을 통해 단 한 시간 내에 네트워크를 암호화하며 아직 분석이 진행 중인 상태입니다.

 

ID Ransomware의 제작자인 Michael GillespiePay2Key 피해자들이 주로 브라질 IP 주소에서 발생한다는 것을 발견했습니다.

 

이 랜섬웨어는 여러 브라질 기업을 공격했지만 브라질 정부 네트워크를 노린 RansomExx 공격과는 관련이 없습니다.

 

1시간 이내에 네트워크 암호화

 

Check Point의 보고서에 따르면 Pay2Key 랜섬웨어의 공격자는 공개적으로 노출된 원격 데스크톱 프로토콜(RDP)을 공격해 피해자 네트워크로의 접근 권한을 얻고 초기 악성코드 페이로드를 배포하는 것으로 추정됩니다.

 

Pay2Key 운영자는 “1시간 이내에 전체 네트워크로 랜섬웨어를 빠르게 확산시키는 능력을 가진 것으로 나타났습니다.

 

피해자의 네트워크에 침투하는데 성공하면 공격자는 랜섬웨어에 감염된 컴퓨터와 Pay2Key의 명령 및 제어(C2) 서버 사이의 모든 발신 통신에 프록시로 사용될 피벗 장치를 설정합니다.

 

이로써 네트워크 내 도달 가능한 모든 시스템을 암호화하기 전 탐지 위험을 피하거나 줄일 수 있습니다.

 

랜섬머니로 최대 14만 달러 요구해

 

다른 인간 개입 랜섬웨어 작전과 마찬가지로 Pay2Key 공격자들 또한 마이크로소프트의 정식 PsExec 포터블 툴을 사용해 타깃 조직의 네트워크 기기에서 랜섬웨어 페이로드인 Cobalt.Client.exe를 원격으로 실행합니다.

 

랜섬웨어는 기기를 성공적으로 암호화한 후 시스템에 랜섬노트를 드롭합니다. 이 랜섬노트의 이름은 [피해조직]_MESSAGE.TXT로 생성됩니다.

 

랜섬노트에는 피해자의 파일 중 일부를 훔쳤다는 메시지가 포함되어 있지만 Check Point는 아직 이에 대한 증거를 찾지는 못했습니다.

 

Pay2Key 운영자는 현재 비교적 낮은 랜섬머니를 요구하는 것으로 나타났습니다. 연구원들은 각 피해자가 7~9 비트코인(11~ 14만 달러)을 지불할 것을 요구 받았다고 밝혔습니다. Bleeping Computer4 비트코인(62천 달러)으로 낮은 랜섬머니를 요구한 사례도 목격했습니다.