New ransomware only decrypts victims who join their Discord server
새로운 랜섬웨어인 ‘Hog’가 사용자의 기기를 암호화한 후 개발자의 디스코드(Discord) 서버에 가입할 경우에만 이를 복호화해주는 것으로 나타났습니다.
이번 주 보안 연구원인 MalwareHunterTeam은 현재 개발 중인 Hog 랜섬웨어용 복호화 툴을 발견했습니다. 이 툴은 파일을 복호화 하고자 하는 피해자에게 디스코드 서버에 가입할 것을 요구합니다.
Bleeping Computer 측은 추후 이 랜섬웨어의 암호화 컴포넌트를 VirusTotal에서 찾을 수 있었습니다. 이 컴포넌트는 실행되면 특정 디스코드 서버가 존재하는지 확인하고, 존재할 경우 피해자의 파일을 암호화하기 시작합니다.
피해자의 파일을 암호화할 때는 아래와 같이 .hog 확장자를 추가하고 복호화 키 컴포넌트를 자동으로 추출합니다.
<Hog 랜섬웨어로 암호화된 파일>
랜섬웨어는 기기 암호화를 완료한 후 윈도우 시작 폴더에서 'DECRYPT-MY-FILES.exe' 복호화 프로그램을 실행합니다.
이 복호화 툴은 피해자에게 발생한 일을 설명한 후 디스코드 사용자 토큰을 입력할 것을 요구합니다.
<Hog 랜섬웨어 복호화 툴>
랜섬웨어는 디스코드 토큰을 사용하여 디스코드 API에 사용자로 인증해 사용자가 그들의 서버에 가입했는지 확인할 수 있습니다. 해당 코드 부분은 아래와 같습니다.
<피해자가 디스코드 서버에 가입했는지 확인하는 소스코드>
피해자가 디스코드 서버에 가입했거나 서버가 존재하지 않을 경우, 랜섬웨어는 랜섬웨어에 내장된 정적 키를 사용하여 피해자의 파일을 복호화합니다.
<무료로 복호화하는 랜섬웨어>
이 랜섬웨어는 아직까지 개발 중인 것으로 보이지만, 더 많은 공격자들이 악성 행위에 디스코드를 더 자주 사용한다는 것을 알 수 있습니다.
Trend Micro가 최근 발견한 또 다른 랜섬웨어인 Humble 또한 새로운 피해자에 대한 정보를 공격자의 디스코드 서버에 저장하는 것으로 나타났습니다.
디스코드는 공격자가 악성코드를 배포하거나 훔친 데이터를 수집하는데 흔히 이용되어 왔습니다.
공격자가 디스코드를 활용하기 시작함에 따라, 관리자는 네트워크 보안 툴이 디스코드 트래픽에서 위협적이거나 비정상적인 행동을 모니터링하도록 설정하는 것이 좋습니다.
현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Filecoder’로 탐지 중입니다.
출처:
https://twitter.com/malwrhunterteam/status/1367546564831563780?s=20
유럽 은행 당국, 익스체인지 서버 해킹 알려 (0) | 2021.03.09 |
---|---|
Sodinokibi 랜섬웨어 그룹, 피해자의 사업 파트너에게 전화하는 전략 추가해 (0) | 2021.03.08 |
마이크로소프트, SolarWinds 해커가 사용하는 새로운 악성코드 변종 3개 발견 (0) | 2021.03.05 |
VMware, 심각한 View Planner RCE 취약점 수정 (0) | 2021.03.05 |
해커들, 탐지 피하기 위해 이미지 내부에 ObliqueRAT 페이로드 숨겨 (0) | 2021.03.04 |
댓글 영역