Offcanvas

랜섬웨어

“몸값 시한 지나면 자동 삭제”··· 랜섬웨어 ‘로키로커’가 당신을 노린다

2022.03.17 Lucian Constantin  |  CSO
‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다. 
 
ⓒGetty Images

블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다. 

지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다. 

‘로키로커’의 기술
로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다. 

“로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는 사례를 많이 보지 못했기 때문에 이는 새로운 트렌드의 시작일 수 있다”라고 블랙베리 연구진은 설명했다. 

컴퓨터에서 처음 실행될 때 로키로커는 ‘%ProgramData%/winlogon.exe’로 자신을 복사한 다음, 예약된 작업과 시작 레지스트리 항목을 사용하여 지속성을 설정한다. 악성 소프트웨어에는 협력자가 사용자 정의할 수 있는 구성 파일이 있으며, 이를 사용하여 악성 소프트웨어에 다음을 지시할 수 있다. 

• 가짜 윈도우 업데이트 화면 표시
• 특정 프로세스 및 시스템 서비스 종료
• 윈도우 작업 관리자 비활성화
• 시스템 백업 및 섀도우 볼륨 복사본 삭제
• 윈도우 오류 복구 및 윈도우 방화벽 비활성화
• 시스템 복원 지점 제거
• 휴지통 비우기
• 윈도우 디펜더 비활성화
• 사용자 로그인 화면에 표시되는 메시지 변경


그다음 이 악성 프로그램은 감염된 시스템 정보를 수집하여 하드 코딩된 명령 및 제어 서버 URL로 전송한다. 서버는 랜섬웨어가 생성한 공개/개인 키 쌍을 암호화하기 위해 사용되는 공개 RSA 키를 반환한다. 피해자의 공개 RSA 키는 임의로 생성된 AES 파일 암호화 키를 암호화하는 데 사용된다. 서버와 통신할 수 없는 경우 사용할 수 있는 5개의 하드 코딩된 공개 RSA 키가 랜섬웨어 바이너리에 포함돼 있다. 공격자만이 피해자의 RSA 개인 키를 해독하여 파일 복호화에 필요한 AES 키를 해독하는 RSA 개인 키를 가지고 있게 된다. 

블랙베리 연구진은 “이 보고서를 쓰는 현시점에서 로키로커에 의해 암호화된 파일을 해독할 수 있는 무료 도구가 없다”라며, “이미 로키로커 랜섬웨어에 감염됐다면 대부분의 보안당국(FBI 등)은 몸값을 지불하지 말라고 권고하고 있다”라고 전했다. 

로키로커는 즐겨찾기, 최근 사용한 파일, 데스크톱, 사진, 동영상, 음악 등 디렉토리에 있는 파일을 암호화한다. 이후 모든 로컬 드라이브의 파일을 암호화한다. 물론 이는 협력자의 설정에 따라 달라질 수 있다. C 드라이브만 암호화하거나 C 드라이브를 건너뛰는 옵션이 있다. 네트워크 공유를 감지하고 암호화하는 데 사용할 수 있는 네트워크 검색 기능도 있다. 

마지막으로 로키로커에는 모든 로컬 드라이브에서 파일을 삭제하고, 하드 드라이브의 마스터 부트 레코드(MBR)를 덮어쓰는 와이퍼 모듈이 포함돼 있어 시스템을 OS로 부팅할 수 없다. 그 대신 ‘돈(몸값)을 지불하지 않았기 때문에 모든 파일을 삭제했다(You did not pay us. So we deleted all of your files)’라는 메시지를 보게 될 것이다. 와이퍼 기능은 30일로 설정돼 있지만 타이머를 사용해 자동으로 트리거할 수 있다. 즉, 공격자가 지정한 기간(시간) 내에 몸값을 내지 않으면 모든 파일을 삭제하고 시스템을 사용할 수 없게 만드는 것이다. 
 
로키로커 랜섬웨어에 감염됐을 때 바뀌는 바탕화면 ⓒBlackBerry Research & Intelligence Team

최근의 우크라이나 사건을 비롯하여 파일 삭제 악성 소프트웨어와 관련된 사고가 수년 동안 발생해왔다. 이러한 악성 프로그램 가운데 일부는 랜섬웨어로 위장하고 있지만 앞에서 살펴본 기능이 번들로 제공되는 랜섬웨어는 흔하지 않다. 타이머를 활용한 이 보복 메커니즘은 논란의 여지가 있다. 피해자가 랜섬웨어에 감염됐다는 사실을 인지한 이후의 첫 번째 단계는 일단 위협을 중단하고 파일 복호화를 위한 협상 여부를 결정하는 것이기 때문이다.   

로키로커의 근원
로키로커의 개발자가 누구인지는 확실하지 않지만 블랙베리 연구진은 해당 악성 소프트웨어에서 발견된 디버깅 문자열이 영어로 작성됐으며, 러시아나 중국의 악성 소프트웨어 개발자에게서 흔히 볼 수 있는 주요 철자 오류는 없었다고 밝혔다. 

대신 이란과의 연결고리가 있을 수 있지만 악성 소프트웨어 연구진을 속이기 위해 의도한 것일 수도 있다고 전했다. 예를 들면 이 악성 소프트웨어는 잠재적으로 파일 암호화에서 제외해야 하는 국가를 정의하기 위한 루틴에 ‘이란(Iran)’ 문자열을 포함하고 있다. 이는 일부 랜섬웨어 개발자에게 일반적인 접근법이다. 하지만 해당 기능은 아직 구축되지 않았다고 연구진은 덧붙였다. 

로키로커의 초기 샘플은 페이팔 브루트체커(PayPal BruteChecker), 스포티파이 브루트체커(Spotify BruteChecker), 피아VPN 브루트 체커(PiaVPN Brute Checker), FPSN 체커(FPSN Checker) 등의 무차별 대입 자격증명 검사 도구의 트로이 목마 버전으로 배포됐다. 또한 로키로커의 초기 샘플을 배포하는 데 사용된 일부 도구는 어카운트크랙(AccountCrack)이라는 이란 크랙팀에서 개발한 것으로 조사됐다. 이 밖에 로키로커 협력자 중 최소 3명이 이란 해킹 포럼에서도 볼 수 있는 사용자 이름을 쓰고 있었다. 

“하지만 로키로커가 진짜 이란에서 온 것을 의미하는지 아니면 진짜 위협 행위자가 이란 공격자에게 책임을 돌리려 하는 것인지는 명확하지 않다. 의미 있는 단서와 거짓 단서의 차이를 구별하기란 어렵다. 속임수가 얼마나 복잡한지 알 수 없다”라고 블랙베리 연구진은 전했다. 
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.