상세 컨텐츠

본문 제목

Qlocker 랜섬웨어, QNAP 사용자 수백 명을 강탈한 뒤 운영 중단해

국내외 보안동향

by 알약4 2021. 5. 20. 14:00

본문

 

 

Qlocker ransomware shuts down after extorting hundreds of QNAP users

 

Qlocker 랜섬웨어 운영자가 QNAP NAS 기기의 취약점을 악용한지 한 달 만에 35만 달러를 벌어들인 후 운영을 중단한 것으로 나타났습니다.

 

419, 전 세계의 QNAP NAS 기기 사용자들은 그들 기기의 파일이 비밀번호로 보호된 7-zip 압축파일로 변경된 것을 발견했습니다.

 

암호화된 파일 이외에도, 파일이 암호화되었으며 이를 복구하기 위해서는 TOR 사이트를 방문하여 랜섬머니를 지불해야 한다는 설명을 담은 !!!READ_ME.txt 파일 또한 발견했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/qlocker-ransomware-shuts-down-after-extorting-hundreds-of-qnap-users/>

<Qlocker 랜섬노트>

 

 

Tor 사이트에서는 공격자를 ‘Qlocker’라 부르며 파일을 복호화할 수 있는 랜섬머니로 약 550 달러 상당인 0.01 비트코인을 요구했습니다.

 

이 공격자는 최근 공개된 QNAP의 취약점을 악용하여 원격으로 내장된 7-zip 애플리케이션을 사용해 피해자의 파일을 암호화하는 방법을 사용한 것으로 밝혀졌습니다.

 

이러한 간단한 방식을 통해 단 한 달 만에 천 대가 넘는 기기를 암호화할 수 있었습니다.

 

Qlocker 운영 종료돼

 

Qlocker.Tor 사이트는 이 사이트는 곧 운영이 중단될 예정입니다.”라는 메시지를 표시하기 시작했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/qlocker-ransomware-shuts-down-after-extorting-hundreds-of-qnap-users/>

 

 

Qlocker Tor 사이트는 최근 랜섬머니 지불과 관련하여 미끼 상술을 사용하기 시작했습니다.

 

피해자가 0.01 비트코인을 지불하고 Qlocker Tor 사이트에 트랜잭션 ID를 등록하면, 사이트는 파일을 돌려받기 위해 0.02 코인을 추가로 지불할 것을 요구했습니다.

 

Qlocker Tor 사이트는 아래와 같은 메시지를 표시했습니다.

 

비트코인을 찾기는 점점 더 힘들어지고, 시간은 아무도 기다려 주지 않습니다. 새로운 가격은 0.03입니다.”

 

위 사이트는 결국 종료되었지만, 하루 정도 뒤 또 다른 Qlocker Tor 사이트가 등장했습니다.

 

하지만 테스트 및 사용자의 제보에 따르면 모든 Qlocker Tor 사이트에 더 이상 접근이 불가능하며, 피해자가 랜섬웨어를 지불할 수 있는 방법은 더 이상 없는 것으로 나타났습니다.

 

공격자들은 랜섬머니로 단돈 $500을 요구해 많은 기업에서 파일 복구를 위해 비용을 지불하도록 했습니다.

 

Qlocker 랜섬웨어 작업은 고정된 비트코인 주소 세트를 사용했기 때문에, 랜섬머니로 지불 받은 비트코인 금액을 확인할 수 있었습니다.

 

BleepingComputer가 발견한 Qlocker 비트코인 주소 22개에는 피해자가 지불한 비트코인 총 8.93258497개가 들어있었습니다. 이는 약 $353,708 상당의 가치가 있습니다.

 

 

비트코인 주소 총 비트코인
34vbPQLgGZwKG2FikitGU6QR7K25aB6Shh 0.73258748
37m57HiP5rPceopgEWF9sM58CkzaDFYtaU 0.29021317
3Ekwztte7oWR1odC1eKeL2Va4cpBuGXPgU 0.28990667
3EPBKN3bcax81U3MdKYUhMC1fzFEFGPC6E 0.27850668
3EvCKQ38y8ePUwM4w49XWVtAK7KhYbmeMH 0.45781656
3FvLioiqF2TrQgZ9zRMdd7QUfc2hTjKZfL 0.19945862
3FXVLv8TmcHNmnfwLfc5g7f2a32xp3XugW 0.59099550
3G6fbWX6At9uRzKf6kwS6R6pn5EQ8UsxKY 0.32033215
3GfAJxhUen3oqb4sDDnPmXyhs5mDboHbyG 0.57134513
3JRdPjB8U3nfDqQHzTqw9yYra49Gsd8Rar 0.57093368
3KmK5z4CAvn3aL4Q8F2gWbhuPRy9ZmEurN 0.48956001
3Kywg92E877KUWmyaeeLNSXFc5bqBvFbAm 0.62479830
3LLzycFNFh7mDsqRhfknfGBa6TKq6HcfwS 0.42901320
3Lp1NkJHYsmFRBfM3ggoWsS1PF5hXxrwrD 0.50386846
3PDfzkTnD1E7gB7peZ2prRyDxjQ1BhqcV1 0.32164647
3PunvFGpVWLX7PNAoT3bMDbPQU2QQW4kxN 0.26000332
3Q8WmjQyFs1EKCdu415t2P9cxY7AbqorPd 0.58281373
3EWRngsRDhCxMHtKxeK6k9kX3pyWZSA2YB 0.29090963
3Gwz3yVmrGr5AqmUrAS8H2QQaPz2v9Rhpx 0.27875489
3JtUAz4aKUrjcBK47ocdv52tTJkriat1nx 0.25999912
3NtgDQCu7xck4UEpyTf8HNSSvrMCnKZRjt 0.28975298
3DhE1iZ5Ui6HALVKuuYXW52ArZPVJjUgJA 0.29936922

 

 

이 비트코인을 0.01로 나눌 경우, 랜섬머니를 지불한 피해자는 약 893명이 됩니다.

 

Qlocker가 또 다른 비트코인 주소를 사용했을 경우 랜섬머니의 규모와 피해자 수가 더욱 증가할 수 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/qlocker-ransomware-shuts-down-after-extorting-hundreds-of-qnap-users/

관련글 더보기

댓글 영역