랜섬웨어

가짜 소프트웨어 업데이트 경고창을 표시하는 타깃형 랜섬웨어 WastedLocker

197    2020-08-04


개요  

최근 러시아 사이버 범죄 그룹인 Evil Corp가 기업을 노리는 새로운 타깃형 랜섬웨어인 WastedLocker를 사용하고 있습니다.

WastedLocker는 웹 사이트를 해킹하여 가짜 소프트웨어 업데이트 경고창을 표시합니다.

따라서, 웹 브라우저 사용자, 특히 기업 내 사용자들의 주의가 요구됩니다.


이에 따라, 기업 내 해당 랜섬웨어 감염 방지에 조금이나마 도움이 되고자 해당 랜섬웨어의 동작 방식 및 대응 방안을 안내 드립니다.



동작방식 



1단계

· 웹 사이트를 해킹하여 가짜 업데이트 프레임워크에서 가짜 소프트웨어 업데이트 경고창 표시


2단계

· 사용자가 가짜 소프트웨어 업데이트를 진행 할 경우 해당 랜섬웨어가 사용자 PC에 침투


3단계

· 랜섬웨어가 실행되며 침투한 기기 내  특정 폴더의 파일 및 특정 확장자를 제외한 컴퓨터 내 모든 드라이브 암호화 및 랜섬노트 생성



파일정보 및 특징 


· 웹 사이트를 해킹하여 가짜 업데이트 프레임 워크에서 가짜 소프트웨어 업데이트 경고창 표시


▶출처: BleepingComputer


· 감염된 기기에 접근 권한을 얻기 위하여 침투 테스트 및 해킹 후 사용 되는 툴킷인 Cobalt Strike를 사용하여 엑세스 권한을 통해 네트워크 해킹 후 WastedLocker 배포

· WastedLocker 랜섬웨어가 시작되면 'C:\Windows\System32' 경로에서 랜덤으로 EXE 파일 혹은 DLL 파일을 선택하여 해당 파일의 이름으로 확장자가 없는 새로운 파일을 만들어 '%AppData%' 경로에 저장

· 특정 폴더의 파일 및 특정 확장자를 제외한 기기 내 모든 드라이브를 암호화 하며 WastedLocker 랜섬웨어 내 제외할 폴더 및 확장자 목록 포함

· 10Bytem 이하의 파일은 무시하며, 파일의 크기가 큰 경우 64MB로 나누어 암호화 진행

· 파일을 암호화 후 피해 회사의 이니셜과 'wasted'라는 문자열을 결합한 확장자를 추가하며 _info로 끝나는 랜섬노트 생성


▶출처: 이스트시큐리티 블로그



감염 팝업    

▶출처: BleepingComputer


WastedLocker 랜섬노트에는 이메일 주소와 랜섬머니를 문의하기 위한 지침 포함

랜섬머니의 경우 50만 ~ 수백만 달러



대응 방안  

해당 랜섬웨어의 경우 가짜 소프트웨어 업데이트를 사용하여 기기에 침투하였습니다.

따라서, 소프트웨어 업데이트 경고창 발생 시 가짜 소프트웨어 업데이트 경고창인지 확인과 주의가 필요합니다.


하지만, 지속적으로 변화하는 랜섬웨어를 대응하기 위해서는 기존의 블랙 개념의 보안 솔루션이 아닌 화이트 리시트 기반의 프로세스 통제 솔루션을 통해 허가된 프로세스만을 사용하여 우회 및 변조 기법을 이용하여 침투 및 악성행위를 하는 프로세스 통제를 통하여 사전 예방이 가능합니다.



관련 자료  

랜섬웨어 소개 및 대응 방안

랜섬웨어 치료 및 복구, 예방 방법

iMON LOPE 소개자료.pdf



댓글 : 0