전문가들, SFile 랜섬웨어의 새로운 리눅스 변종 경고

Experts warn of attacks using a new Linux variant of SFile ransomware

 

SFile 랜섬웨어(Escal) 운영자가 작업을 확장하기 위해 리눅스 버전의 악성코드를 개발한 것으로 나타났습니다.

 

2020년부터 활동을 시작한 SFile 랜섬웨어는 당시 윈도우 시스템만 노렸습니다. 랜섬웨어의 일부 변종은 암호화된 파일의 이름에 타깃 회사의 영어 이름을 추가합니다.

 

중국 보안 회사인 Rising은 최근 RSA+AES 알고리즘 모드를 사용하는 SFile 랜섬웨어의 리눅스용 변종을 탐지했습니다.

 

Rising에서는 분석문을 발표해 아래와 같이 밝혔습니다.

 

“예를 들어, 이번에 발견된 변종은 nuctech-gj0okyci(nuctech는 Nuctech Technology Co., Ltd.의 영문 이름)를 접미사로 사용합니다. 최근 Rising은 해당 랜섬웨어의 리눅스 플랫폼 변종을 발견했습니다.”

 

 

<이미지 출처: https://twitter.com/fbgwls245/status/1480006045523386368/photo/1>

 

 

보안 회사인 ESET의 연구원들은 중국의 부분적 국유 기업을 노린 공격에 사용된 FreeBSD 플랫폼을 지원하는 SFile 랜섬웨어 변종을 발견했습니다.

 

“SFile 랜섬웨어는 파일 암호화를 위해 Mbed TLS 라이브러리, RSA-2048, AES-256 알고리즘을 사용합니다. 이 랜섬웨어는 자체 포털이 없습니다. 공격자는 이메일을 통해 피해자와 연락합니다.”

 

 

<이미지 출처: https://twitter.com/ESETresearch/status/1473282562420269056/photo/1>

 

 

The Record에서도 MalwareHunterTeam와 함께 새로운 변종을 사용한 공격을 확인했습니다. 해당 랜섬웨어는 기업 및 정부 네트워크에 대한 표적 공격에 사용되었습니다.

 

전문가들은 SFile 랜섬웨어의 리눅스 버전에서 몇 가지 사항이 개선되었으며, 가장 흥미로운 부분은 생성/액세스 날짜를 기반으로 파일을 암호화하는 기능이라고 밝혔습니다. 해당 악성코드의 제작자는 일부 피해자에게는 최근 파일이 더욱 중요하며, 보통 백업에 포함되지 않기 빼문이라 밝혔습니다.

 

The Record는 1월 초 SFile 랜섬웨어 감염 건수에 대해 아직까지는 매우 적은 편이라 밝혔습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Ransom.Filecoder’로 탐지 중입니다.

 

 

 

출처:

https://securityaffairs.co/wordpress/126811/malware/sfile-ransomware-linux.html

http://it.rising.com.cn/fanglesuo/19851.html

https://therecord.media/sfile-escal-ransomware-ported-for-linux-attacks/

https://twitter.com/fbgwls245/status/1480006045523386368 (IOC)