새로운 랜섬웨어 변종이 PC를 잠그는 데 ‘overkill’ 암호화를 사용함

새로운 랜섬웨어 변종이 PC를 잠그는 데 ‘overkill’ 암호화를 사용함

야생에서 발견된 새로운 형태의 랜섬웨어는 연구자들이 말하는 “과잉 킬” 수준의 암호화를 통해 감염된 시스템을 가로챈다.

이번 주, FortiGuard Labs는 Nemmty로 알려진 이 새로운 변종이 최근 PasteBin을 악성코드로 연결하는 한 트위터 봇에 의해 샘플로 공유되었다고 말했다.

봇이 공유하는 샘플 중 하나는 소디노키비 랜섬웨어 변종과의 연결을 위한 것이었지만, 그 출처는 결국 새로운 악성코드 패밀리가 되었다.

소딘 또는 레빌로도 알려진 소디노키비는 지속적인 진화 상태에 있는 악성 프로그램이며 윈도우 제로 데이 공격에서 손상된 원격 관리 소프트웨어 콘솔에 이르기까지 시스템을 감염시키는 전술을 사용한다.

랜섬웨어 운영자에게 공개 및 개인 키 설정에 관계없이 모든 파일을 해독할 수 있는 키를 발견했기 때문에, 랜섬웨어가 서비스로서의 랜섬웨어(RaaS)로 제공되고 있을 것이다. 연구원들은 이전에 간드크랩과 소디노키비 코드 사이의 유사성에 대해 개략적으로 설명했다.

네미 샘플의 이진수에 내장된 링크는 운영자가 돈을 벌기 전에 간드크랩이 사용했으며, 네미는 소디노키비와 같은 경로를 통해 배포된 것으로 보이지만, 연구원들은 아직 세 사람 사이의 확실한 연관성을 입증하지 못하고 있다고 말한다.

네미가 소디노키비 그룹의 바이너리 링크와 배포를 넘어 이들 악성 프로그램 패밀리와 어떤 연계가 있는지 여부는 알 수 없지만, 초기 단계의 랜섬웨어는 RaaS 체계에 연결된 사이버 공격자의 최신 악성 프로그램 오퍼링일 가능성이 있다.

Nemty는 여전히 개발 단계에 있는 것 같다. Tor 네트워크에 결제 페이지가 설정되었고 감염된 시스템의 잠금을 해제하기 위한 해독 키의 대가로 비트코인(BTC) 1,000달러를 요청 받는다.

참고 항목: 금융자산회사 PCI는 열악한 사이버 보안 관행에 대해 150만 달러를 지불하라고 명령했다.

대상 컴퓨터에서 랜섬웨어의 명령-제어(C2) 서버로 암호화된 구성 정보를 전송하는 기능이 있지만, 현재 C2에 사용하려는 IP 주소는 루프백 주소일 뿐이다.

연구진은 “아직 데이터를 받기 위해 운영 서버를 구성하지 않았을 가능성이 있다”고 말했다.

네미는 피해자의 PC를 암호화하기 위해 base64 인코딩과 RC4 암호화를 모두 이용한다. 코드를 역설계하는 모든 연구자들을 대상으로 한 스나이드 잽에서 개발자들은 RC4 암호화 키로 “f*kav\x00″이라는 러시아어를 사용했다.

CBC 모드의 AES-128, RSA-2048 및 RSA-8192는 파일 암호화 및 키 생성에 사용된다. 32바이트 값을 AES 키로 사용하고, RSA-2048 키 쌍이 생성되며, 이례적으로 8192비트 키로 RSA 암호화를 사용하여 구성 파일과 개인 키를 모두 암호화한다.

CNET: 개인 정보 보호의 중심에는 1억 달러의 보조금이 있을 수 있다.

FortiGuard Labs는 일반적으로 2048과 4096 문자열이 메시지를 암호화 및 보호하기에 적절한 수준 이상이며, 따라서 8192 크기의 문자열을 사용하는 것은 “그 목적을 위해 과도한 사용과 비효율적”이라고 말한다.”

연구진은 “키 크기가 길어지면 키 생성 시간이 상당히 길어지고 암호화 시간이 길어지기 때문에 오버헤드가 커진다[…] RSA-8192는 패딩을 위해 예약된 크기를 고려하더라도 한 번에 1024바이트만 암호화할 수 있다”고 지적했다. “암호화된 개인 키를 포함하고 있기 때문에 구성의 크기는 분명히 그 이상일 것이기 때문에, 멀웨어는 정보를 1000(0x3e8) 바이트의 청크로 잘라 전체 정보가 암호화될 때까지 RSA-8192의 여러 가지 작업을 수행한다.”

이 사이버 보안 회사에 따르면 암호화를 많이 사용하는 것은 손상된 시스템의 암호를 해독하는 것이 “실제로 불가능”하다는 것을 의미한다고 한다. 이는 유감스러운 일이다. 사이버 보안 회사들이 제공하는 암호 해독 프로그램이 때때로 비용을 지불하지 않고 랜섬웨어 감염으로 손실된 파일을 복구하는 유일한 방법이 될 수 있기 때문이다.

Tech Republic: 2018년 이후 DNS 증폭 공격 1,000% 증가

파일 비교를 목적 없이 반복하는 파일과 일부 파일 확장자를 화이트리스트로 작성하는 비효율적인 방법과 같이 개발이 진행 중임을 나타내는 코드 문제가 있다. 이 악성코드는 또한 시스템의 IP 주소가 러시아, 벨라루스, 카자흐스탄, 타지키스탄, 우크라이나와 관련이 있는지 여부를 확인할 것이지만, 그 결과와 상관없이 암호화는 계속될 것이다.

맬웨어 코드에 묻혀 있는 제휴 ID 지표도 RaaS를 가리키고 있다.

네미가 아직 개발 중이라는 코드 문제와 지표에도 불구하고, 연구자들은 여전히 효과적으로 시스템을 암호화할 수 있기 때문에, 악성코드는 현재 상태에서도 “실제 위협”이라고 말한다. 실제로, 보고서가 완성되고 있을 때, 네미의 새로운 변종이 발견되었는데, 이것은 유통이 진행 중임을 암시할 수도 있다.

admin

Leave a Reply

Your email address will not be published. Required fields are marked *