상세 컨텐츠

본문 제목

REvil 랜섬웨어의 새로운 샘플 발견, 활동 재개설 확인돼

국내외 보안동향

by 알약4 2022. 5. 2. 09:00

본문

REvil ransomware returns: New malware sample confirms gang is back

 

러시아와 미국 사이의 긴장이 고조되고 있는 가운데, 악명 높은 REvil 랜섬웨어가 다시 활동을 재개했습니다. 새로운 버전은 새로운 인프라와 개선된 암호화기를 통해 표적화된 공격이 가능해졌습니다.

 

지난 10월 법 집행 기관이 REvil 랜섬웨어의 Tor 서버를 압수한 후 러시아의 법 집행 기관이 그룹의 멤버를 체포하여 활동을 중단했습니다.

 

하지만, 러시아는 우크라이나 침공 이후 미국이 REvil 그룹에 대한 협상 과정을 포기하고 관련된 통신 채널을 폐쇄했다고 밝힌 바 있습니다.

 

다시 살아난 REvil Tor 사이트

 

이후 얼마 지나지 않아, 기존 REvil Tor 인프라가 다시 작동하기 시작했습니다. 하지만 방문자에게 이전 웹사이트를 보여주는 대신 이름이 없는 새로운 랜섬웨어 작업을 위한 URL로 이동시켰습니다.

 

이 사이트는 예전 REvil의 웹사이트와 전혀 다른 것처럼 보이지만, 기존 인프라가 새로운 사이트로 리디렉션되고 있기 때문에 REvil이 다시 운영될 가능성이 있을 것으로 추측할 수 있습니다. 게다가, 새로운 사이트에는 이전 REvil 공격을 통해 훔친 데이터와 새로운 피해자의 데이터가 섞인 채 게시되어 있었습니다.

 

이러한 증거가 REvil 랜섬웨어가 이름이 없는 새로운 브랜드로 변경했음을 명백히 보여주고 있지만, 해당 Tor 사이트는 지난 11 "REvil은 나쁘다"는 메시지를 표시하기도 했습니다.

 

하지만 Tor 사이트에는 다른 공격자나 법 집행 기관 또한 접근이 가능했기 때문에 해당 웹 사이트만으로 해킹 그룹이 다시 활동을 재개했다는 충분한 증거가 되지는 못했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/revil-ransomware-returns-new-malware-sample-confirms-gang-is-back/>

<안티 REvil 메시지를 표시하는 REvilTor 사이트>

 

  

REvil이 실제로 활동을 재개했는지 확실히 확인할 수 있는 유일한 방법은 해당 랜섬웨어 암호화기의 샘플을 분석하여 패치되었는지, 소스코드에서 컴파일되었는지 확인하는 것이었습니다.

 

하지만 이번 주 AVAST의 연구원인 Jakub Kroust다이 새로운 랜섬웨어의 암호화기 샘플을 발견해 새로운 작전이 REvil과 실제로 관련이 있음을 확인했습니다.

 

랜섬웨어 샘플로 활동 재개 확인해

 

몇몇 랜섬웨어 작업이 REvil의 암호화기를 사용하고 있지만, 이들 모두 그룹의 소스코드에 직접적으로 접근하기보다는 패치된 실행파일을 사용합니다.

 

하지만, 여러 보안 연구원과 악성코드 분석가들은 새로운 작업에 사용된 REvil 샘플이 소스코드를 통해 컴파일되었으며 새로운 변경 사항이 포함된 것을 발견했다고 전했습니다.

 

보안 연구원인 R3MRUM은 트위터를 통해 REvil의 샘플의 버전 번호가 1.0으로 변경되었지만, 종료되기 전 REvil에서 공개한 마지막 버전인 2.08의 연속이라고 밝혔습니다.

 

 

<이미지 출처 : https://twitter.com/R3MRUM/status/1520195427068350464>

<새로운 REvil 암호기의 버전 변경>

 

 

연구원은 해당 암호화기가 실제로 파일을 암호화하지 않는 이유를 설명할 수는 없었지만, 소스코드를 통해 컴파일된 것으로 추측된다고 밝혔습니다.

 

Advanced Intel CEO Vitali Kremez 또한 REvil의 새로운 샘플을 역설계한 결과, 지난 426일 소스코드에서 컴파일되었으며 이후 패치되지 않았음을 확인했다고 밝혔습니다.

 

Kremez는 새로운 REvil 샘플에 새로운 구성 필드인 'accs'가 추가되었다고 밝혔습니다. 이 필드에는 공격을 통해 노리는 특정 피해자의 크리덴셜이 포함되어 있습니다.

 

Kremez는 해당 'accs' 구성 옵션이 고도의 타깃화된 공격을 위해 특정 계정과 윈도우 도메인을 포함하지 않는 다른 기기가 암호화되는 것을 방지하기 위한 것이라 추측했습니다.

 

'accs' 옵션 이외에도, 새로운 REvil 샘플의 구성에서는 캠페인 및 제휴 식별자로 사용되는 SUB PID 옵션을 수정해 '3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4'와 같은 더욱 긴 GUID 유형 값을 사용합니다.

 

BleepingComputer에서 랜섬웨어 샘플을 테스트한 결과, 이는 파일을 암호화하지는 않았지만 REvil의 이전 랜섬노트와 유사한 노트를 생성했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/revil-ransomware-returns-new-malware-sample-confirms-gang-is-back/>

<REvil의 랜섬노트>

 

 

또한 기존 REvil 사이트와 리브랜딩된 사이트에는 약간의 차이가 있지만, 피해자가 사이트에 로그인할 경우에는 이전 사이트와 거의 동일한 것으로 나타났습니다. 또한 공격자는 아래와 같이 'Sodinokibi'라 주장하고 있었습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/revil-ransomware-returns-new-malware-sample-confirms-gang-is-back/>

<Sodinokibi라 주장하는 새로운 랜섬웨어>

 

 

'Unknown'으로 알려진 REvil의 대표는 아직까지 찾을 수 없었지만, 위협 인텔리전스 연구원인 FellowSecurity BleepingComputer 측에 REvil의 이전 핵심 개발자 중 한 명이 랜섬웨어 작전을 다시 실행했다고 전했습니다.

 

그가 핵심 개발자였기 때문에 REvil의 소스코드 전체 및 이전 사이트의 Tor 개인 키에 잠재적으로 접근이 가능했던 것으로 추측해볼 수 있습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Ransom.Sodinokibi’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/revil-ransomware-returns-new-malware-sample-confirms-gang-is-back/

https://twitter.com/R3MRUM/status/1520195427068350464

https://twitter.com/JakubKroustek/status/1520135975262957568 (IOC)

 

관련글 더보기

댓글 영역