New Pay2Key ransomware encrypts networks within one hour
이스라엘과 브라질을 노리는 새로운 랜섬웨어인 Pay2Key가 발견되었습니다. 이 랜섬웨어는 타깃 공격을 통해 단 한 시간 내에 네트워크를 암호화하며 아직 분석이 진행 중인 상태입니다.
ID Ransomware의 제작자인 Michael Gillespie는 Pay2Key 피해자들이 주로 브라질 IP 주소에서 발생한다는 것을 발견했습니다.
이 랜섬웨어는 여러 브라질 기업을 공격했지만 브라질 정부 네트워크를 노린 RansomExx 공격과는 관련이 없습니다.
1시간 이내에 네트워크 암호화
Check Point의 보고서에 따르면 Pay2Key 랜섬웨어의 공격자는 공개적으로 노출된 원격 데스크톱 프로토콜(RDP)을 공격해 피해자 네트워크로의 접근 권한을 얻고 초기 악성코드 페이로드를 배포하는 것으로 추정됩니다.
Pay2Key 운영자는 “1시간 이내에 전체 네트워크로 랜섬웨어를 빠르게 확산시키는 능력”을 가진 것으로 나타났습니다.
피해자의 네트워크에 침투하는데 성공하면 공격자는 랜섬웨어에 감염된 컴퓨터와 Pay2Key의 명령 및 제어(C2) 서버 사이의 모든 발신 통신에 프록시로 사용될 피벗 장치를 설정합니다.
이로써 네트워크 내 도달 가능한 모든 시스템을 암호화하기 전 탐지 위험을 피하거나 줄일 수 있습니다.
랜섬머니로 최대 14만 달러 요구해
다른 인간 개입 랜섬웨어 작전과 마찬가지로 Pay2Key 공격자들 또한 마이크로소프트의 정식 PsExec 포터블 툴을 사용해 타깃 조직의 네트워크 기기에서 랜섬웨어 페이로드인 Cobalt.Client.exe를 원격으로 실행합니다.
랜섬웨어는 기기를 성공적으로 암호화한 후 시스템에 랜섬노트를 드롭합니다. 이 랜섬노트의 이름은 [피해조직]_MESSAGE.TXT로 생성됩니다.
랜섬노트에는 피해자의 파일 중 일부를 훔쳤다는 메시지가 포함되어 있지만 Check Point는 아직 이에 대한 증거를 찾지는 못했습니다.
Pay2Key 운영자는 현재 비교적 낮은 랜섬머니를 요구하는 것으로 나타났습니다. 연구원들은 각 피해자가 7~9 비트코인(약 11만 ~ 14만 달러)을 지불할 것을 요구 받았다고 밝혔습니다. Bleeping Computer는 4 비트코인(약 6만2천 달러)으로 낮은 랜섬머니를 요구한 사례도 목격했습니다.
<Pay2Key 랜섬노트>
<이미지 출처: https://www.bleepingcomputer.com/news/security/new-pay2key-ransomware-encrypts-networks-within-one-hour/>
이 랜섬웨어는 이전에 탐지된 변종의 코드를 사용하지 않으며 Pay2Key 샘플이 VirusTotal에 등록되었을 때 단 하나의 안티 바이러스 솔루션만 이를 탐지하고 있었습니다.
컴파일 아티팩트를 살펴본 결과 개발자들은 내부적으로 Pay2Key를 ‘Cobalt’로 부르고 있으며 문자열과 로그 문구로 미루어 볼 때 이들은 영어권 원어민은 아닌 것으로 추측됩니다.
이 랜섬웨어는 AES 및 RSA 알고리즘을 사용하는 대칭 및 비대칭 암호화 방식의 하이브리드를 사용합니다. C2 서버를 통해 RSA 공개 키를 전달하며, 따라서 타깃 기기가 인터넷에 연결되어 있지 않거나 C2 서버가 오프라인일 경우 시스템을 암호화할 수 없습니다.
“아직 공격을 조사하고 있는 중이지만 최근 Pay2Key 랜섬웨어 공격을 통해 새로운 공격자가 타깃 랜섬웨어 공격 추세를 따르고 있는 것을 알 수 있습니다. 이 공격은 피해를 극대화하고 노출을 줄이기 위해 잘 설계된 작업을 보여줍니다.”
현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Pay2Key’로 탐지 중입니다.
출처:
https://research.checkpoint.com/2020/ransomware-alert-pay2key/
가짜 마이크로소프트 팀즈 업데이트, Cobalt Strike로 이어져 (0) | 2020.11.10 |
---|---|
리눅스 서버 및 IoT 기기를 봇넷에 참여시키는 새로운 악성코드 (0) | 2020.11.10 |
RansomExx 랜섬웨어, 리눅스 시스템 노려 (0) | 2020.11.09 |
애플, 실제 공격에 악용 중인 iOS 제로데이 취약점 3개 패치 (0) | 2020.11.06 |
공격자들, 치명적 취약점 악용해 오라클 서버에 Cobalt Strike 배포 (0) | 2020.11.06 |
댓글 영역