Babuk 코드에서 파생된 Rook 랜섬웨어 발견

Rook ransomware is yet another spawn of the leaked Babuk code

 

최근 나타난 새로운 랜섬웨어 작업인 Rook이 기업 네트워크를 침해하고 장치를 암호화해 "많은 돈"을 벌 것이라 밝혔습니다.

 

데이터 유출 포털의 소개 문구가 다소 우스꽝스럽긴 하지만, 이들은 사이트에 첫 번째 희생자를 게시해 자신의 발언이 장난이 아니라는 것을 분명히 했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/rook-ransomware-is-yet-another-spawn-of-the-leaked-babuk-code/>

<Rook의 유출 포털 내 회사 소개 부분>

 

 

SentinelLabs의 연구원들은 이 새로운 변종에 대해 자세히 조사하여 기술적 세부 사항, 감염 사슬, 또한 이 변종이 Babuk 랜섬웨어와 어떤 유사점이 있는지를 밝혀냈습니다.

 

감염 과정

 

Rook 랜섬웨어 페이로드는 일반적으로 Cobalt Strike를 통해 전달되며, 피싱 이메일과 수상한 토렌트 다운로드가 초기 감염 벡터로 알려져 있습니다.

 

이 페이로드에는 탐지를 피하기 위해 UPX 또는 기타 암호로 패킹되어 있습니다. 랜섬웨어가 실행되면, 이는 보안 툴을 포함하여 암호화를 방해할 수 있는 모든 관련 프로세스를 종료하려고 시도합니다.

 

 

<이미지 출처 : https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/>

<종료된 서비스>

 

 

SentinelLabs는 보고서를 통해 아래와 같이 밝혔습니다.

 

"흥미롭게도, Process Hacker의 kph.sys 드라이버가 어떤 경우에는 프로세스를 종료하지만 다른 경우에는 작동하지 않는 것을 확인했습니다."

 

"이는 공격자가 드라이버를 통해 특정 로컬 보안 솔루션을 비활성화해야 할 필요가 있기 때문인 것으로 보입니다.”

 

 

<이미지 출처 : https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/>

<볼륨 섀도 복사본 삭제 프로세스>

 

 

또한 Rook은 vssadmin.exe를 사용하여 볼륨 섀도우 복사본을 통해 파일이 복구되는 것을 방지하기 위해 이를 삭제합니다.

 

분석가는 Rook에서 지속성 관련 메커니즘을 찾지 못했습니다. 따라서 Rook은 파일을 암호화 후 ".Rook" 확장자를 추가한 다음 해킹된 시스템에서 자신을 삭제할 것입니다.

 

 

<이미지 출처 : https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/>

<Rook으로 암호화된 파일>

 

 

 

Babuk 기반 랜섬웨어

 

SentinelLabs는 2021년 9월에 전체 소스코드가 러시아어 포럼에서 유출되어 현재는 활동하지 않는 서비스형 랜섬웨어인 Babuk과 Rook 사이에서 수 많은 코드 유사성을 발견했습니다.

 

예를 들어, Rook은 실행 중인 각 서비스의 이름과 상태를 검색하는데 동일한 API 호출을 사용하고, 동일한 기능을 사용하여 서비스를 종료합니다.

 

또한 두 랜섬웨어의 중지시키는 프로세스 및 윈도우 서비스 목록은 모두 동일합니다.

 

여기에는 Steam 게임 플랫폼, Microsoft Office / Outlook 이메일 클라이언트, Mozilla Firefox, Thunderbird가 포함됩니다.

 

암호화기가 섀도우 볼륨 복사본을 삭제하고 Windows Restart Manager API를 사용하며 로컬 드라이브를 열거하는 방식 또한 유사합니다.

 

 

<이미지 출처 : https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/>

<알파벳순으로 로컬 드라이브 열거>

 

 

이러한 코드 유사성으로 인해 Sentinel One은 Rook이 Babuk 랜섬웨어의 유출된 소스코드를 기반으로 사용했을 것으로 추측했습니다.

 

Rook 위협의 심각도

 

Rook의 공격이 얼마나 정교한지는 아직까지 알 수 없지만, 이 랜섬웨어에 감염된 결과는 꽤 심각해 데이터가 암호화 및 도난당하는 결과로 이어집니다.

 

Rook 데이터 유출 사이트에는 현재 두 명의 피해자로 한 은행과 인도 항공 및 항공 우주 전문가가 게시되어 있습니다.

 

두 항목 모두 이번 달에 추가되었기 때문에, 아직까지 그룹 활동은 초기 단계로 보입니다.

 

이후 숙련된 파트너가 이 새로운 서비스형 랜섬웨어에 합류할 경우 Rook은 향후 상당한 위협이 될 수 있을 것으로 보입니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Filecoder’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/rook-ransomware-is-yet-another-spawn-of-the-leaked-babuk-code/

https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/