랜섬웨어

 

최근 Go언어로 제작된 'Agenda' 라는 변종 랜섬웨어가 인도네시아, 사우디아라비아, 남아프리카, 태국 등의 의료기관을 목표로 감염된 사실이 확인되었다고 합니다.

 

트렌드마이크로 연구원 들은 지난주 분석에서 "Agenda는 안전 모드에서 시스템을 재부팅하고 많은 서버별 프로세스와 서비스를 중지하려고 시도하며 여러 모드를 실행할 수 있습니다" 라고 말했습니다.

다크 웹에서 랜섬웨어를 광고하는 위협 행위자인 Qilin은 각 피해자에 대해 바이너리 페이로드를 맞춤화할 수 있는 옵션을 계열사에 제공하여 운영자가 랜섬 노트, 암호화 확장, 프로세스 및 서비스 목록을 결정할 수 있도록 합니다. 암호화 프로세스를 시작하기 전에 종료합니다.

또한 랜섬웨어는 장치의 '안전 모드' 기능을 활용하여 눈에 띄지 않게 파일 암호화 루틴을 진행하지만 기본 사용자의 비밀번호를 변경하고 자동 로그인을 활성화하기 전에는 탐지 회피 기술을 통합합니다.

암호화에 성공하면 Agenda는 구성된 확장자로 파일의 이름을 바꾸고 암호화된 각 디렉토리에 랜섬 노트를 삭제한 다음 시스템을 정상 모드로 재부팅합니다. 요청된 랜섬웨어 금액은 회사마다 다르며 $50,000에서 $800,000까지 다양합니다.

 

ransome note


Agenda는 로컬 계정 자격 증명을 활용하여 랜섬웨어 바이너리를 실행하는 것 외에도 전체 네트워크와 공유 드라이버를 감염시키는 기능도 제공합니다.

랜섬웨어와 관련된 관찰된 공격 체인 중 하나에서 공개 Citrix 서버가 진입점 역할을 하여 궁극적으로 2일 이내에 랜섬웨어를 배포했습니다.

Trend Micro는 Agenda와 Black Basta , Black Matter 및 REvil (일명 Sodinokibi) 랜섬웨어 제품군 간의 소스 코드 유사성을 관찰했다고 말했습니다 .

2022년 4월 처음 등장한 블랙 바스타 는 표적 조직의 시스템에 있는 파일을 암호화하고 복호화를 위해 몸값을 요구하는 이중 갈취 기법을 사용하는 한편, 피해자가 원하지 않는 경우 도난당한 민감한 정보를 게시하겠다고 위협하는 것으로 알려져 있다. 몸값을 지불하십시오.

Palo Alto Networks Unit 42 에 따르면 Black Basta 그룹은 지난주 현재 75개 이상의 조직을 침해했으며, 이는 2022년 6월의 50개에서 증가한 수치입니다.

Agenda는 BlackCat , Hive 및 Luna 에 이어 Go 프로그래밍 언어를 사용하는 네 번째 변형이기도 합니다 . 연구원들은 "랜섬웨어는 조직을 함정에 빠뜨리기 위해 더욱 정교한 방법과 기술을 개발하면서 계속 진화하고 있습니다."라고 말했습니다.

 

반응형
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기