국내외 보안동향

새로운 Memento 랜섬웨어, 암호화 실패 후 WinRar로 전환해

알약4 2021. 11. 19. 09:00

 

New Memento ransomware switches to WinRar after failing at encryption

 

새로운 랜섬웨어 그룹인 Memento가 그들의 암호화 방법이 계속해서 보안 소프트웨어에 탐지된 후 파일을 암호로 보호된 압축파일 내에 잠그는 특이한 방법을 사용하기 시작한 것으로 나타났습니다.

 

이 그룹은 지난 달 활동을 시작해 피해자의 네트워크 접근하는데 VMware vCenter Server 웹 클라이언트의 취약점을 악용했습니다.

 

vCenter 취약점은 'CVE-2021-21971'로 등록되었으며 심각도 점수 9.8(치명적)을 받은 인증되지 않은 원격 코드 실행 이슈입니다.

 

이 취약점으로 노출된 vCenter 서버의 TCP/IP port 443에 원격으로 접근 가능한 사람은 누구나 관리자 권한으로 기본 OS에서 명령을 실행할 수 있습니다.

 

지난 2월 이 취약점을 수정하는 패치가 공개되었지만, Memento의 활동에서 알 수 있듯 많은 조직에서 이 패치를 설치하지 않은 것으로 보입니다.

 

Memento는 지난 4월부터 이 취약점을 악용하기 시작했으며, 5월에는 다른 공격자가 이를 악용하여 PowerShell 명령을 통해 XMR 채굴기를 설치했습니다.

 

랜섬웨어 배포에 vCenter 악용

 

Memento는 지난달 시작된 랜섬웨어 공격에서 vCenter를 시작하여 타깃 서버의 관리 크리덴셜을 추출하고, 예약된 작업을 설정해 지속성을 얻은 다음 SSH를 통한 RDP로 네트워크 내에서 측면 확산을 시도했습니다.

 

공격자들은 정찰 단계를 거친 후 WinRAR을 사용하여 훔친 파일을 압축 후 유출했습니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/11/18/new-ransomware-actor-uses-password-protected-archives-to-bypass-encryption-protection/>

<Memento의 공격 흐름>

 

 

마지막으로, 이들은 Jetico BCWipe 데이터 삭제 유틸리티를 통해 남겨진 모든 흔적을 삭제한 후 Python 기반 랜섬웨어 변종을 통해 AES 암호화를 시도합니다.

 

하지만 Memento에서 사용했던 암호화 방식은 안티 바이러스 소프트웨어에 탐지되어 중단되기 일쑤였습니다.

 

대처 방안

 

Memento는 보안 소프트웨어에서 상용 랜섬웨어가 탐지되는 것을 해결하기 위해 기존의 암호화 방식을 사용하지 않고 암호로 보호된 압축파일을 사용하기 시작했습니다.

 

이제 이 그룹은 파일을 WinRAR로 압축하고, 강력한 암호를 설정 후 해당 키를 암호화하고 마지막으로 원본 파일을 삭제합니다.

 

Sophos의 분석가인 Sean Gallagher는 아래와 같이 설명했습니다.

 

"파일을 암호화하는 대신 "암호화" 코드는 WinRAR 사본을 사용하여 암호화되지 않은 각 파일을 압축해 .vaultz 확장명을 붙입니다.”

 

"압축된 각 파일에 대한 암호가 생성됩니다. 이후 해당 패스워드는 암호화됩니다.”

 

드롭된 랜섬 노트는 피해자가 완전한 복구를 위해 15.95 BTC($940,000) 또는 파일당 0.099 BTC($5,850)를 지불할 것을 요구합니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/11/18/new-ransomware-actor-uses-password-protected-archives-to-bypass-encryption-protection/>

<Memento 랜섬 노트>

 

 

Sophos가 조사한 사례에서는 피해자가 백업을 통해 파일을 복구했기 때문에 랜섬머니를 지불하지 않았습니다.

 

하지만 정상적으로 작동하는 새로운 암호화 방법을 찾은 Memento는 다른 조직에 또 다시 공격을 시도할 가능성이 높습니다.

 

따라서 VMware vCenter Server Cloud Foundation을 사용할 경우 최신 버전으로 업데이트 해 알려진 취약점을 패치하는 것이 좋습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-memento-ransomware-switches-to-winrar-after-failing-at-encryption/

https://news.sophos.com/en-us/2021/11/18/new-ransomware-actor-uses-password-protected-archives-to-bypass-encryption-protection/