Sarbloh 랜섬웨어, 인도의 농부 시위 지지해

 

 

New Sarbloh ransomware supports Indian farmers' protest

 

Sarbloh라 알려진 새로운 랜섬웨어가 파일을 암호화하는 동시에 인도 농부의 시위를 지지하는 메시지를 전달하는 것으로 나타났습니다.

 

지난 해 인도 정부는 ‘farm Bills’로도 알려진 ‘인도 농업 법 2020’이라는 새로운 법안을 통과시켰습니다. 정부는 농산업을 현대화 하기 위해 이 법안이 필요하다고 설명했습니다.

 

하지만 농부들은 이 법률로 인해 상품을 판매하는 방식 및 가격에 대한 제한이 제거되어 그들의 수익 창출이 더욱 어렵게 될 것이라 주장했습니다.

 

새로운 랜섬웨어인 Sarbloh, 인도 농부들 지지해

 

Malwarebytes, Cyble, QuickHeal을 포함한 많은 보안 회사에서 발견한 이 새로운 랜섬웨어는 ‘Sarbloh’로 명명되었으며, 정치적 메시지가 포함된 악성 워드 문서를 통해 배포되고 있습니다.

 

악성 워드 문서가 피싱 이메일이나 그 외의 다른 방식을 통해 배포되는지는 알 수 없지만, 문서를 열면 콘텐츠가 정상적으로 확인하기 위해서 ‘콘텐츠 사용’ 버튼을 눌러야 한다는 메시지가 표시됩니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-sarbloh-ransomware-supports-indian-farmers-protest/>

<악성 워드 문서>

 

  

버튼을 클릭하면, 해당 워드 문서의 매크로는 bitsadmin.exe을 이용하여 putty.exe라는 파일을 문서 폴더에 다운로드하고 실행합니다.

 

파일이 실행되면, 랜섬웨어는 컴퓨터 내 특정 파일 타입을 암호화하고, 파일 이름에 '.sarbloh'를 추가합니다. 예를 들어 1.jpg 파일이 암호화될 경우 1.jpg.sarbloh로 이름이 변경됩니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-sarbloh-ransomware-supports-indian-farmers-protest/>

<Sarbloh로 암호화된 파일>

 

 

컴퓨터 내 파일이 암호화되면, 인도의 농부들을 지지하는 메시지가 포함된 랜섬노트인 'README_SARBLOH.txt'가 생성됩니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-sarbloh-ransomware-supports-indian-farmers-protest/>

<Sarbloh 랜섬 노트>

 

 

Michael Gillespie에 따르면, Sarbloh는 알려진 취약점이 없는 KhalsaCrypt 오픈소스 랜섬웨어를 기반으로 합니다.

 

하지만 다른 랜섬웨어와 달리 섀도 복사본을 제거하지 않기 때문에, 이를 통해 파일을 복구할 수 있습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Filecoder’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-sarbloh-ransomware-supports-indian-farmers-protest/

https://twitter.com/MBThreatIntel/status/1366922640754024455

https://cybleinc.com/2021/03/08/sarbloh-ransomware-targets-india-through-political-agenda/

https://blogs.quickheal.com/activists-turn-hacktivists-new-ransomware-that-does-not-demand-money/