침해사고분석팀ㅣ2022.07.05
보안 동향 ㅣ AstraLocker 랜섬웨어 종료 및 복호화 해제
침해사고분석팀ㅣ2022.07.05
침해사고분석팀ㅣ2022.07.04
침해사고분석팀ㅣ2022.07.04
침해사고분석팀ㅣ2022.07.01
보안 동향리눅스용 DarkSide 랜섬웨어 발견되다. | ||||
작성일 | 2021-06-25 | 조회 | 5171 | |
---|---|---|---|---|
최근, 리눅스 버전을 타겟으로 한 DarkSide 랜섬웨어가 AT&T Alien Labs 에 의해 발견됬다. 보안 연구원들은 상세 분석 보고서를 공개 했으며 DarkSide 그룹은 지난 분기에 가장 활발한 랜섬웨어 중 하나였다. 이들은 5월에 발생했던 Colonial Pipeline 공격사태 이 후 운영을 중단한다고 주장한 바 있다.
대부분의 리눅스 기반으로 제작된 랜섬웨어는 비밀번호를 통한 압축으로 암호화를 진행했지만, DarkSide는 라이브러리를 이용해 파일을 암호화한다. 때문에 암호화 키 없이는 데이터를 복구할 수 없다. 이번에 발견된 샘플들은 VMware 가상 머신을 호스팅하는 ESXi 서버를 대상으로 한 버전으로 랜섬웨어 운영자들은 3월 9일 DarkSide 랜섬웨어 리눅스 버전을 발표했다. 공개된 보고서에 따르면 ESX 서버 시스템의 Root 경로, 정보, 로그 및 데이터를 노렸다.
랜섬웨어가 실행되면 터미널에 관련 정보가 표시되며 암호화할 경로, RSA키 정보, 암호화 된 확장자, C2등이 표시된다.
파일 암호화는 RSA 4096 키를 사용해 ChaCha20 알고리즘으로 암호화 한다. 파일 끝에는 암호화 시 사용된 Key가 붙게되며 최종적으로 랜섬노트가 생성된다고 연구원들이 밝혔다.
AT&T는 "랜섬웨어 피해를 방지하기 위해서는 보안 업데이트로 소프트웨어를 최신상태로 유지하고 백업 시스템을 구축해야한다. 마지막으로 모든 서비스에 이중 인증과 같은 추가적인 보안 요소가 추가 되어야 한다." 고 주의를 요구했다.
출처
https://cybersecurity.att.com/blogs/labs-research/darkside-raas-in-linux-version
https://cyware.com/news/the-linux-version-of-darkside-ransomware-223ea813 |
||||
첨부파일 | 첨부파일이 없습니다. | |||
![]() ![]() ![]() |
||||
태그 | DarkSide |