실제 공격에서 발견된 새로운 BlackCocaine 랜섬웨어

 

 

BlackCocaine Ransomware, a new malware in the threat landscape

 

Cyble의 사이버 연구원들은 지난 5월 30일 인도의 뱅킹 및 금융 서비스 IT 기업인 Nucleus Software에서 발생한 공격에 대한 조사를 실시했습니다.

 

회사는 봄베이 증권 거래소(BSE)와 인도 국립 증권 거래소(NSEI)에 보안 침해 사실을 신고했습니다. Nucleus Software는 고객의 재무 데이터를 저장하지 않는다고 밝혔습니다.

 

Cyble 연구팀은 이 회사가 BlackCocaine 랜섬웨어 그룹의 피해자임을 발견했습니다.

 

 

<이미지 출처 : https://cybleinc.com/2021/06/03/nucleus-software-becomes-victim-of-the-blackcocaine-ransomware/>

 

 

다른 랜섬웨어 그룹과 마찬가지로, 이들도 자체 사이트(hxxp://blackcocaine[.]top)를 운영합니다.

 

“분석 결과, Cyble 연구팀은 Nucleus Software가 BlackCocaine 랜섬웨어 그룹의 첫 피해자가 된 것을 발견했습니다. 해당 도메인의 WHOIS 정보에 따르면, BlackCocaine 랜섬웨어의 도메인은 2021년 5월 28일에 등록되었습니다.”

 

연구원들은 최근 다른 공개 샌드박스에 a.BlackCocaine라는 파일이 등록되었다고 밝혔습니다.

 

이 랜섬웨어는 피해자의 파일을 암호화하는 동안 시스템 열거를 수행한 후 암호화가 완료된 파일의 파일 이름에 ".BlackCocaine" 확장자를 추가합니다.

 

BlackCocaine 랜섬웨어는 Go 언어로 작성되었으며 MinGW 툴을 이용하여 컴파일되었습니다. 해당 페이로드 파일은 UPX로 패킹된 64비트 윈도우 실행파일입니다.

 

이 랜섬웨어 페이로드는 2021년 5월 29일 컴파일되었습니다. 해당 랜섬웨어는 여러 가상 머신/디버깅 회피 기술을 사용합니다.

 

BlackCocaine의 초기 감염 벡터는 아직까지 밝혀지지 않았습니다.

 

“BlackCocaine은 가장 최근 발견된 랜섬웨어이며, 가장 정교하고 활동이 왕성한 악성코드 변종 중 하나인 것으로 보입니다. 이 랜섬웨어 패밀리는 사용자의 문서를 잠그고 랜섬머니를 요구하는데 동일한 서버 측 암호화 모델을 따릅니다.”

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Filecoder’로 탐지 중입니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/118617/malware/blackcocaine-ransomware.html

https://cybleinc.com/2021/06/03/nucleus-software-becomes-victim-of-the-blackcocaine-ransomware/