새로운 Chaos 랜섬웨어 빌더 변종인 “Yashma”, 실제 공격에서 발견돼

New Chaos Ransomware Builder Variant "Yashma" Discovered in the Wild

 

사이버 보안 연구원들이 Chaos 랜섬웨어 라인의 최신 버전인 Yashma에 대한 자세한 정보를 공개했습니다.

 

블랙베리의 연구 및 인텔리전스 팀은 보고서를 통해 아래와 같이 밝혔습니다.

 

"Chaos 랜섬웨어 빌더는 실제 공격에서 발견된지 1년 밖에 되지 않지만, Yashma는 이 악성코드의 6번째 버전(v6.0)이라 주장하고 있습니다."

 

Chaos는 2021년 6월 9일 언더그라운드 포럼에서 등장한 커스텀 랜섬웨어 빌더로, 겹치는 부분이 발견되지 않았음에도 Ryuk의 .NET 버전이라 거짓으로 홍보했습니다.

 

악성코드가 판매용으로 제공될 경우 모든 공격자가 빌더를 구입해 자체 랜섬웨어 변종을 개발하여 공격을 실행할 수 있게 됩니다.

 

이후 기능 개선을 위해 6월 17일 버전 2.0, 7월 5일 버전 3.0, 8월 5일 버전 4.0, 2022년 초 버전 5.0으로 총 5번 업데이트되었습니다.

 

Chaos의 첫 변종 3개는 랜섬웨어보다는 파괴적인 트로이 목마의 역할을 했지만, Chaos 4.0은 암호화할 수 있는 파일의 상한선을 2.1MB로 늘려 암호화 프로세스를 확장시켰습니다.

 

버전 4.0은 2022년 4월 Onyx로 알려진 랜섬웨어 그룹이 랜섬노트를 업데이트하고 타깃 파일 확장자 목록을 개선해 적극적으로 무기화되고 있었습니다.

 

 

<이미지 출처 : https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree>

 

 

"Chaos 5.0은 이전 위협의 가장 큰 문제였던 2MB보다 큰 파일이 암호화될 경우 복구가 불가능하게 손상되던 점을 해결하려 시도했습니다.”

 

Yashma는 피해자의 위치를 ​​기반으로 실행을 중지하고 바이러스 백신 및 백업 소프트웨어 관련 다양한 프로세스를 종료하는 기능이 추가되어 개선된 최신 버전입니다.

 

Chaos 랜섬웨어 변종은 전쟁에서 러시아 편에 선 것이 발견되었으며, 파일을 암호화 후 친 러시아 메시지가 포함된 웹사이트로 이동시키는 링크가 표시되는 것으로 나타났습니다.

 

Fortinet FortiGuard Labs은 이와 관련하여 아래와 같이 설명했습니다.

 

"공격자는 피해자가 암호화된 파일을 복구할 수 있는 복호화 툴이나 지침을 제공할 의사가 전혀 없습니다.”

 

"이로써 이 악성코드는 파일 파괴자가 됩니다."

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Misc.Riskware.RansomBuilder’로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2022/05/new-chaos-ransomware-builder-variant.html

https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree