Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향SunCrypt와 QNAPCrypt 랜섬웨어의 연관성
작성일 2021-03-04 조회 103

새로운 연구에 따르면, 작년에 여러 대상을 감염시켰던 랜섬웨어 변종인 SunCrypt는 리눅스 기반의 파일 스토리지 시스템을 대상으로 한 QNAPCrypt 랜섬웨어의 업데이트 버전일 수 있다.

 

"두 개의 랜섬웨어가 다크웹에서 서로 다른 위협 행위자들에 의해 작동되는 반면, 두 개의 랜섬웨어를 같은 저자와 연결시키는 코드 재사용과 기술에는 강력한 기술적 연결이 있다"고 Intezer Lab 연구원인 Joakim Kennedy는 오늘 발간한 악성코드 분석에서 공격자들의 전술을 말했다.

 

2019년 7월 처음 확인된 QNAP Crypt(또는 eCh0raix)는 대만 기업 QNAP Systems and Synology의 NAS(Network Attached Storage) 기기를 대상으로 한 랜섬웨어 제품군이다. 이 장치는 시스템에서 발견된 파일을 암호화할 목적으로 알려진 취약점을 이용하여 취약한 자격 증명을 무차별적으로 적용함으로써 손상되었다.

 

이후 랜섬웨어는 러시아 사이버 범죄단체인 '풀 오브 딥(Full Of Deep)'에 추적됐으며, Intezer은 피해자로부터 랜섬 페이먼트를 받기 위해 만들어진 정적 비트코인 지갑 목록을 겨냥해 서비스 거부 공격을 앞세워 무려 15건의 랜섬웨어 캠페인을 중단했다.

 

SunCrypt는 2020년 중반에 C/C++ 버전으로 포팅되기 전 2019년 10월 Go로 작성된 Windows 기반 랜섬웨어 도구로 등장했다. 이 그룹은 파일을 암호화하기 전에 피해자의 데이터를 훔치고 공개적으로 위협하는 것 외에도 DDoS (분산 서비스 거부) 공격을 2차 갈취 전략으로 활용하여 피해자가 요구된 몸값을 지불하도록 압력을 가했다.

 

가장 최근에 해당 랜섬웨어는 12월 29일 뉴 사우스 웨일스에 기반을 둔 의료 진단 회사인 PRP Diagnostic Imaging을 대상으로 배포되었으며, 이 회사는 두 개의 관리 파일 서버에서 "소량의 환자 기록"을 도난당했다.

 

[그림 1. SunCrypt와 QNAPCrypt 비교]

 

두 개의 랜섬웨어 제품군이 서로 다른 운영 체제에 대한 공격을 지시했지만 SunCrypt와 다른 랜섬웨어 그룹의 연결에 대한 보고는 이전에 추측된 바 있다.

 

위협 인텔리전스 회사인 Intel 471의 "비공개 보고서"를 인용하여 SunCrypt의 대표들이 "잘 알려진 랜섬웨어 변종의 재작성·재브랜드화했다"고 말했다.

 

제 Intezer의 SunCrypt Go 바이너리 분석에 따르면 랜섬웨어는 QNAPCrypt와 유사한 암호화 기능을 공유할 뿐만 아니라 암호화된 파일 형식과 암호화 암호를 생성하는데 사용되는 방법과 해당 시스템이 허용되지 않는 카운트에 있는지 확인하기 위해 시스템 로케일 검사를 수행한다.

 

또한 QNAPCrypt와 SunCrypt가 모두 RaaS(Ransomware-as-a-Service) 모델을 활용하여 계열사가 직접 랜섬웨어 공격을 수행하고 각 피해자들이 부담한 금액의 비율을 부담하는 지하 포럼에 광고하고 있다는 점도 주목할 만하다.

 

Intezer는 두 그룹의 중복성과 행동 차이를 고려해 "eCh0raix 랜섬웨어가 SunCrypt 운영자에게 이전·업그레이드됐다"고 의심하고 있다.

 

연구진은 "기술 기반 증거는 QNAPCrypt와 SunCrypt의 이전 버전 사이의 연결을 강력하게 제공하지만, 두 랜섬웨어는 서로 다른 개인이 운영하는 것이 분명하다"고 결론지었다.

 

"사용 가능한 데이터에 따르면 포럼에서 두 행위자 간의 활동을 연결할 수 없다. 이는 이전 서비스에서 파생된 새로운 악성코드 서비스가 나타날 때 항상 같은 사람에 의해 운영되지 않을 수 있음을 시사한다."

 

출처

https://thehackernews.com/2021/03/researchers-unearth-links-between.html

첨부파일 첨부파일이 없습니다.
태그 SunCrypt  QNAPCrypt