Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향N3TW0RM 랜섬웨어는 이스라엘을 목표로 삼았다.
작성일 2021-05-04 조회 70

'N3TW0RM' 랜섬웨어를 유포하는 사이버 범죄 단체가 이스라엘 기업들을 목표로 한 공격이 발견됬다. 이스라엘 언론은 이번 공격으로 적어도 4곳의 기업과 1곳의 비영리 단체가 공격을 당했다고 보도했다. 현재 범죄조직은 데이터 유출 사이트를 만들어 피해자가 몸값을 지불하도록 협박, 응하지 않을 시 유출하겠다고 위협하고 있다.

 

현재 공식적으로 H&M 이스라엘 ,  Veritas Logistic's network 두 곳은 범죄자들에 의해 데이터가 유출됬고 이들이 현재 제시한 몸값은 3비트코인 (약 17만 달러) ~ 4비트코인이라고 언론에서 공개했다.

 


[그림1. N3TW0RM 랜섬 노트]

 

 

 

이스라엘의 보안 연구원들 범죄자들과의 What's App 메시지 내용을 공개했으며 해당 랜섬웨어는 2020년 11월에서 2021년 2월까지 활동했던 Pay2Key 공격과 일부 공통점이 있다고 밝혔다.

 


[그림2. What's App 메시지 내용]

 

 

 

N3TW0RM 랜섬웨어는 현재 어떤 범죄조직의 소행인지는 확인되지 않았다. 이들의 낮은 몸값 요구화 협상능력 부족으로 봤을때 일각에서는 조직의 이익이 아닌 사회적 혼란을 일으키는 것이 목적이라는 의견도 나오고 있는 반면, Honey Badger Security의 CEO인 Arik Nachmias는 "이들은 금전적인 목적으로 공격을 자행하고 있다." 고 주장했다.

 

Honey Badger Security는 "공격자들은 피해자의 서버에 원격 도구인 PAExec를 설치, 랜섬웨어인 'slave.exe' 파일을 유포한 뒤 실행한다. 이 후 파일들은 암호화되며 .n3tw0rm이라는 확장자명으로 바뀌게 된다" 고 언급했다. 추가적으로 임의의 Netcat:80 포트 서버를 오픈한 뒤 랜섬웨어 파일 실행 시 암호화에 사용했던 RSA키를 보내오는 것을 확인할 수 있다.

 

 


[그림2. RSA키 수신]

 

 

 

Arik Nachmias는 "Key를 받은 서버는 클라이언트에게 암호화를 수행하도록 명령 및 PC 제어 기능들을 수행할 수 있다. 이들은 암호화된 파일들에 대해 복호화를 수행할 수 있다."며 이들의 금전 목적을 아예 배제할 수 없다고 밝혔다.

 

출처:

 

https://www.bleepingcomputer.com/news/security/n3tw0rm-ransomware-emerges-in-wave-of-cyberattacks-in-israel/

첨부파일 첨부파일이 없습니다.
태그 N3TW0RM