상세 컨텐츠

본문 제목

국내에 LockBit 3.0 랜섬웨어 유포 시작! 비너스락커(VenusLocker) 혹은 모방 조직으로 추정돼

악성코드 분석 리포트

by 알약4 2022. 8. 2. 10:48

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 
국내에 꾸준히 랜섬웨어를 유포중인 비너스락커(VenusLocker)조직 혹은 비너스락커 조직을 모방하는 조직이 최근 새로 업데이트 한 LockBit 랜섬웨어 3.0 버전의 유포를 시작하였습니다. 

LockBit 3.0은 올해 7월 초에 등장하였지만 국내에서는 여전히 LockBit 2.0 버전이 유포되고 있었습니다. 

하지만, 금일 LockBit 3.0 버전의 유포가 확인되어 사용자들의 각별한 주의가 필요합니다. 
 
유포 방식은 기존과 동일하게 입사지원서를 위장한 피싱 메일을 통해 유포중이며, 이력서를 위장한 랜섬웨어 파일이 첨부되어 있습니다. 

 

기존과 마찬가지로 국내사용자들을 대상으로 공격을 진행중이며, 국내 맞춤형으로 한글(HWP)파일 아이콘을 위장한 실행파일(exe)로 유포중입니다.

 

 

[그림 1] 한글파일 아이콘을 위장하여 유포중인 랜섬웨어

 

 

만일 사용자가 해당 파일을 한글파일로 오인하여 실행하면, LockBit 3.0 랜섬웨어가 실행됩니다. 

 

LockBit 3.0 랜섬웨어가 실행되면, 사용자 PC 내 파일들을 암호화 한 후 파일명과 확장자를 [랜덤한 6자리 문자열].[랜덤한 9자리 문자열]로 변경합니다. 파일명도 함께 변경되기 때문에, 기존 파일이 어떤것이였는지 확인하기 어렵습니다. 

 

또한 암호화 후 사용자 PC의 바탕화면을 바꾸고 랜섬노트를 생성합니다. 

 

 

[그림 2] 랜섬웨어 감염 후 변경된 바탕화면 및 랜섬노트

 

 

랜섬노트에는 랜섬머니를 지불하지 않으면 탈취한 데이터들을 다크넷 사이트에 공개한다고 협박하고 있으며, 랜섬노트에 기재된 주소로 접속을 하면 암호화된 파일 일부를 복호화 할 수 있는 페이지와 실제 LockBit 3.0이 탈취한 데이터을 판매하는 페이지를 확인할 수 있어 사용자의 불안감을 유발하고 랜섬머니를 지불하도록 유도합니다. 

 

 

[그림 3] 공격자가 운영중인 페이지



사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일 내 첨부파일 열람을 지양하시고, 수상한 파일 실행 전 반드시 확장자를 확인하셔야 합니다. 또한 중요 파일에 대해서는 주기적으로 백업을 진행하여 랜섬웨어에 감염되었을 때 피해를 최소화 할 수 있도록 노력해야 합니다. 

 

현재 알약에서는 해당 랜섬웨어에 대해  Trojan.Ransom.LockBit로 탐지중에며, 유포 상황에 대해서도 지속적인 모니터링을 진행중에 있습니다. 

 

 

 

 

 

 

 

 

관련글 더보기

댓글 영역