2024-03-29 17:10 (금)
락크립트 랜섬웨어, Satan RaaS 통해 변종 배포 시작돼
상태바
락크립트 랜섬웨어, Satan RaaS 통해 변종 배포 시작돼
  • 길민권 기자
  • 승인 2017.11.15 21:09
이 기사를 공유합니다

SA-1.jpg
올 6월부터, 한 사이버 범죄 그룹이 RDP 브루트포싱 공격을 통해 보호되지 않은 기업 서버들에 침투해 수동으로 락크립트(LockCrypt) 랜섬웨어를 설치하고 있는 것으로 나타났다.

보안 연구원들에 따르면, 이 공격자들은 미국, 영국, 남아프리카, 인도, 필리핀 등에 위치한 기업들을 공격했다.

LockCrypt 갱은 보통 하나의 서버로 침투해 가능한 많은 장비로 퍼지며 각각의 시스템에서 수동으로 LockCrypt 랜섬웨어를 실행한다. LockCrypt에 감염 되면 파일들은 암호화 되며 .lock 확장자가 붙는다.

암호화 된 데이터를 복호화 하기 위해 피해자들은 0.5~1 비트코인을 지불해야 한다. 이는 3,500달러에서 7,000달러 상당이다.

공격자들이 더 많은 컴퓨터들을 감염 시킨다면 일부 기업들은 수 백만에서 수 천만 달러를 지불해야 할 수 있다.

연구원들에 따르면, LockCrypt 랜섬웨어의 첫 번째 버전은 이전에 Satan RaaS(Ransomware-as-a-Service, 서비스형 랜섬웨어) 포털에서 생성 된 랜섬웨어와 관련이 있는 이메일 주소를 사용한 것으로 나타났다.

전문가들은 이 그룹이 초기에는 Satan 랜섬웨어를 이용했으며 발생한 수익을 이용해 커스텀 버전을 개발해 LockCrypt 랜섬웨어를 만든 것으로 추측하고 있다.

LockCrypt는 강력한 암호화를 사용하고 부팅 후에도 지속성을 가지며 섀도우 볼륨 카피를 삭제하며 윈도우가 아닌 모든 코어 프로세스들을 죽이는 배치파일을 실행한다. 이로써 암호화 프로세스에 영향을 줄 수 있는 안티 바이러스 프로그램들 및 기타 다른 프로세스들을 중단시킬 수 있다.

LockCrypt 갱은 이로 인해 꽤 높은 수익을 올리고 있는 것으로 보인다. 많은 비트코인 지갑들 중 랜섬노트에서 발견한 3개에서는 이미 17만5천 달러 상당의 비트코인을 벌어들인 것으로 나타났다.

이스트시큐리티는 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.LockCrypt로 탐지중에 있다고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★