지난 5월 첫 포착된 신종 랜섬웨어, Conti 소스코드 기반
“RaaS 시장의 또 다른 진화로 고위험 산업군 위협 지속될 가능성 높아”
[보안뉴스 조재호 기자] 최근 SGI서울보증 공격에 쓰인 ‘건라’ 랜섬웨어가 앞서 두바이 대형 병원도 감염시킨 것으로 나타났다. 스피어 피싱이나 VPN 취약점 등을 악용, 보건과 IT 등 고부가가치 산업군을 집중 공략한다.
카스퍼스키는 ‘건라’(Gunra) 랜섬웨어에 대한 기술 분석 결과를 21일 발표했다.
[자료: gettyimagesbank]
건라는 4월 처음 활동이 포착된 신종 랜섬웨어로 2022년 유출된 콘티(Conti) 랜섬웨어의 소스코드를 기반으로 파생된 것으로 밝혀졌다. 카스퍼스키는 이 랜섬웨어를 보건의료와 보험, IT 인프라 관리 기업 등 고부가가치 산업군을 대상으로 한 고도화된 위협으로 평가했다.
건라는 다양한 접근 기법을 활용한다. △피싱 이메일을 통한 악성 문서 및 매크로 실행 △VPN 소프트웨어 및 공개 취약점 악용 △인터넷에 노출된 RDP에 대한 비밀번호 크래킹 또는 취약점 공격 등의 방법이 주로 활용된다.
카스퍼스키의 위협 어트리뷰션 엔진 KTAE를 통해 건라의 주요 구성 코드를 비교한 결과, 약 25% 이상이 과거 콘티 랜섬웨어 코드와 구조적으로 비슷했다. 건라는 다중 스레드 기반 암호화 처리와 서비스 및 보안 프로세스 강제 종료 루틴, 네트워크 공유 탐색 로직을 그대로 계승했다.
건라의 암호화 구조는 감염된 시스템 내 모든 파일을 ChaCha20 대칭키 암호화 알고리즘을 활용해 암호화하고, 이 키는 다시 RSA-2048 공개키로 비대칭 암호화하는 방식으로 작동한다. 이중 암호화 구조는 이론상 피해자가 복호화 키 없이 데이터 복원이 불가능하다. 모든 암호화 파일 헤더에는 GRNC라는 고유 식별자가 삽입되며, 이는 감염 여부를 확인할 수 있는 표식이 된다.
암호화 대상 파일은 문서(.docx, .xlsx), DB 파일(.sql, .sqlite), 가상머신 이미지(.vmdk, .vhdx) 등 기업 핵심 자산이다. .dll, .lnk, .sys 등 운영체제에 치명적 영향을 주는 파일은 의도적으로 제외해 협상을 유도한다.
감염이 완료되면, 시스템 내 각 폴더마다 ‘R3ADM3.txt’라는 랜섬노트를 자동 생성한다. 이 파일은 피해자가 Tor 기반 협상 사이트에 접속하도록 유도하며, 협상을 피하면 다크웹에 피해 정보를 공개하겠다는 협박 문구가 포함됐다.
건라 운영자들은 다크웹에 자신들이 공격에 성공한 기업에 대한 감염 사실을 알리는 사이트를 운영하고 있으며, 최근 40TB 이상의 민감한 환자 데이터가 유출된 두바이 내 아메리칸 호스피탈 두바이의 피해 사실을 게시한 바 있다.
카스퍼스키는 군라 감염을 막기 위해 RDP 포트 제한 및 다단계 인증 활성화, 전체 시스템 백업, 오프사이트 백업 저장, EDR과 NDR 등에 최신 Yara룰 반영, IOC 기반 로그 모니터링 강화 등의 대응을 권고하고 있다. 또 협박성 다크웹 유출에 대응하기 위한 법적 자문 체계와 데이터 유출 대응 시나리오 수립도 병행되어야 한다고 강조했다.
카스퍼스키는 ‘HEUR:Trojan-Ransom.Win32.Gunra.gen’, ‘HEUR:Trojan-Ransom.Win64.Generic’, ‘Trojan-Ransom.Win32.Conti.gen’(코드 기반 유사성 탐지) 등의 탐지 명칭으로 군라의 악성 활동을 식별하고 있으며, 관련 IOC 및 Yara 룰은 위협 인텔리전스 포털에서 제공한다.
이효은 카스퍼스키 한국지사장은 “군라는 RaaS(Ransomware-as-a-Service) 시장의 또다른 진화된 버전이며, 단순한 포스트 콘티 위협이 아닌 시장의 실질적 진화를 보여준다”며 “고급 랜섬웨어 기술의 재활용과 정교화는 향후 대형 기관과 기간 산업 등 고위험 산업군을 대상으로 한 집중적 위협이 향후에도 지속될 가능성이 높음을 보여준다”고 우려를 나타냈다.
[조재호 기자(sw@boannews.com)]
“RaaS 시장의 또 다른 진화로 고위험 산업군 위협 지속될 가능성 높아”
[보안뉴스 조재호 기자] 최근 SGI서울보증 공격에 쓰인 ‘건라’ 랜섬웨어가 앞서 두바이 대형 병원도 감염시킨 것으로 나타났다. 스피어 피싱이나 VPN 취약점 등을 악용, 보건과 IT 등 고부가가치 산업군을 집중 공략한다.
카스퍼스키는 ‘건라’(Gunra) 랜섬웨어에 대한 기술 분석 결과를 21일 발표했다.
[자료: gettyimagesbank]
건라는 4월 처음 활동이 포착된 신종 랜섬웨어로 2022년 유출된 콘티(Conti) 랜섬웨어의 소스코드를 기반으로 파생된 것으로 밝혀졌다. 카스퍼스키는 이 랜섬웨어를 보건의료와 보험, IT 인프라 관리 기업 등 고부가가치 산업군을 대상으로 한 고도화된 위협으로 평가했다.
건라는 다양한 접근 기법을 활용한다. △피싱 이메일을 통한 악성 문서 및 매크로 실행 △VPN 소프트웨어 및 공개 취약점 악용 △인터넷에 노출된 RDP에 대한 비밀번호 크래킹 또는 취약점 공격 등의 방법이 주로 활용된다.
카스퍼스키의 위협 어트리뷰션 엔진 KTAE를 통해 건라의 주요 구성 코드를 비교한 결과, 약 25% 이상이 과거 콘티 랜섬웨어 코드와 구조적으로 비슷했다. 건라는 다중 스레드 기반 암호화 처리와 서비스 및 보안 프로세스 강제 종료 루틴, 네트워크 공유 탐색 로직을 그대로 계승했다.
건라의 암호화 구조는 감염된 시스템 내 모든 파일을 ChaCha20 대칭키 암호화 알고리즘을 활용해 암호화하고, 이 키는 다시 RSA-2048 공개키로 비대칭 암호화하는 방식으로 작동한다. 이중 암호화 구조는 이론상 피해자가 복호화 키 없이 데이터 복원이 불가능하다. 모든 암호화 파일 헤더에는 GRNC라는 고유 식별자가 삽입되며, 이는 감염 여부를 확인할 수 있는 표식이 된다.
암호화 대상 파일은 문서(.docx, .xlsx), DB 파일(.sql, .sqlite), 가상머신 이미지(.vmdk, .vhdx) 등 기업 핵심 자산이다. .dll, .lnk, .sys 등 운영체제에 치명적 영향을 주는 파일은 의도적으로 제외해 협상을 유도한다.
감염이 완료되면, 시스템 내 각 폴더마다 ‘R3ADM3.txt’라는 랜섬노트를 자동 생성한다. 이 파일은 피해자가 Tor 기반 협상 사이트에 접속하도록 유도하며, 협상을 피하면 다크웹에 피해 정보를 공개하겠다는 협박 문구가 포함됐다.
건라 운영자들은 다크웹에 자신들이 공격에 성공한 기업에 대한 감염 사실을 알리는 사이트를 운영하고 있으며, 최근 40TB 이상의 민감한 환자 데이터가 유출된 두바이 내 아메리칸 호스피탈 두바이의 피해 사실을 게시한 바 있다.
카스퍼스키는 군라 감염을 막기 위해 RDP 포트 제한 및 다단계 인증 활성화, 전체 시스템 백업, 오프사이트 백업 저장, EDR과 NDR 등에 최신 Yara룰 반영, IOC 기반 로그 모니터링 강화 등의 대응을 권고하고 있다. 또 협박성 다크웹 유출에 대응하기 위한 법적 자문 체계와 데이터 유출 대응 시나리오 수립도 병행되어야 한다고 강조했다.
카스퍼스키는 ‘HEUR:Trojan-Ransom.Win32.Gunra.gen’, ‘HEUR:Trojan-Ransom.Win64.Generic’, ‘Trojan-Ransom.Win32.Conti.gen’(코드 기반 유사성 탐지) 등의 탐지 명칭으로 군라의 악성 활동을 식별하고 있으며, 관련 IOC 및 Yara 룰은 위협 인텔리전스 포털에서 제공한다.
이효은 카스퍼스키 한국지사장은 “군라는 RaaS(Ransomware-as-a-Service) 시장의 또다른 진화된 버전이며, 단순한 포스트 콘티 위협이 아닌 시장의 실질적 진화를 보여준다”며 “고급 랜섬웨어 기술의 재활용과 정교화는 향후 대형 기관과 기간 산업 등 고위험 산업군을 대상으로 한 집중적 위협이 향후에도 지속될 가능성이 높음을 보여준다”고 우려를 나타냈다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
