Offcanvas

������������������������������������

“몸값 시한 지나면 자동 삭제”··· 랜섬웨어 ‘로키로커’가 당신을 노린다

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

랜섬웨어 악성 소프트웨어 악성코드 로키로커 블랙베리 서비스형 랜섬웨어 닷넷 사이버 범죄 맬웨어

2022.03.17

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

2022.03.17

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6