Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Qlocker, 수백명의 QNAP 사용자들에게 피해를 입힌 후 서비스 종료
작성일 2021-05-20 조회 88

Qlocker 랜섬웨어를 운영하는 범죄자들이 QNAP NAS 기기의 취약점을 이용해 한 달 동안 35만달러의 수익을 낸 후 운영을 중단했다. 해당 랜섬웨어는 4월 19일, QNAP 사용자 기기 수백대에 침투해 7-zip 소프트웨어로 파일들을 암호화 시켰다.

 

추가적으로 생성된 랜섬노트는 해당 기기가 암호화 되었다는 내용과 함께 협상을 위한 Tor 주소를 남겼다. 공격자들은 비밀번호를 받기 위해 0.01비트코인, 약 550달러를 요구 했으며 피해자들은 공격자들이 제시한 가격으로 몸값을 지불했지만 0.02비트코인을 추가로 지불해야 한다고 협박하는 경우도 있었다.

 


[그림1. 암호화된 기기에 생성된 랜섬노트]

 

 

 

이렇게 활동을 이어가던 Qlocker는 돌연 협상용 Tor주소들을 통해 폐쇄가 임박했다는 알림을 띄우고 사라지는 듯 했으나, 이내 새로운 Qlocker 사이트가 생겨나기도 했다.

 


[그림2. Qlocker Tor 주소 접속 시 발생하는 알림]

 

 

 

Bleeping Computer는 "이제 더 이상 Qlocker의 Tor 주소는 접근할 수 없게 되어 피해자들이 파일을 복구할 수 있는 수단이 없어졌다." 언급했으며 이들이 돌연 운영을 중단한 이유가 DarkSide 랜섬웨어 때문인 것으로 보고있다. Darkside 랜섬웨어는 최근, Colonial Pipeline 기업을 공격해 미국의 일부 도시들을 비상사태로 선언시킨 전적이 있다. 이 때문에 여러 사법기관들이 조사에 착수하기 시작했고 Darkside를 포함해 여러 랜섬웨어의 Tor 사이트들이 중단됬다.

 

현재로썬 Qlocker 랜섬웨어의 사이트 폐쇄가 사법기관의 활동 증가로 인해 이와 같은 결정을 내렸는지에 대해서는 확실하지 않은 상태다. 

 

랜섬웨어의 몸값을 지불하기 위해 만들어진 지갑들의 코인 유통을 확인한 결과 이들은 피해자들을 통해서 상당한 액수를 받은 것으로 확인되고 있다. Bleeping Computer에서는 Qlocker 에서 사용하던 비트코인 지갑 22개를 알아내 추적을 진행한 결과, 총 8.93258497개의 비트코인이 입금된 것을 발견했다. 현재는 35만 달러의 가치를 가지고 있지만 코인의 가격 폭락전에는 45만 달러로 책정됬다.

 


[그림3. Qlocker 랜섬웨어가 사용하는 지갑 주소]

 

 

 

Bleeping Computer는 "0.01 비트코인을 나눠본 결과 몸값을 지불한 피해자는 893명으로 확인된다. 우리가 알지 못하는 지갑 주소를 사용하고 있을 경우, 피해자는 더 많을 수 있다." 고 언급했다.

 

출처:

 

https://www.bleepingcomputer.com/news/security/qlocker-ransomware-shuts-down-after-extorting-hundreds-of-qnap-users/

첨부파일 첨부파일이 없습니다.
태그 Qlocker