지난 6월 예스24 사태 이후 금융권까지 번진 랜섬웨어 감염 사고
공격표면 관리·방화벽 정책·백업 체계 점검 등 대응 방안 제시
[보안뉴스 조재호 기자] 건라, 킬린, 로르샤흐 같은 랜섬웨어 그룹의 이름이 마냥 낯설지 않다. 최근 국내 산업 전반에 이들의 그림자가 짙게 드리웠기 때문이다. ‘한국은 미슐랭 3 스타급 해킹 맛집’이란 자조적 평가를 내리는 전문가도 있다.
[자료: gettyimagesbank]
22일 <보안뉴스>가 입수한 금융보안원 ‘최근 랜섬웨어 공격 동향 및 시사점’ 보고서에 따르면 올해 상반기 다크웹 유출 사이트에 확인된 랜섬웨어 감염 기업은 3500개에 달한다. 지난해 같은 기간 2290여개에 비해 약 58% 증가했다.
산업군별 피해 규모는 △일반 비즈니스 △제조 △리테일 △건설 △금융 △통신 △소프트웨어 순으로 나타났다. 금융권 피해가 전년보다 큰 폭으로 증가해 5위를 기록했다. 또 정부 기관과 국가 주요 인프라를 대상으로 한 공격도 25건에서 67건으로 약 3배 늘어났다.
신규 랜섬웨어는 기술 측면에선 △백업 삭제 △커널 레벨 보안 솔루션 무력화(EDR-Killer) 같은 정교한 공격기법을 쓴다는 특징이 있다. 건라, 킬린, 럭키 등이 대표적이다. EDR-킬러( EDR-Killer)는 취약한 정상 드라이버를 설치해 권한을 높이거나 콜백(Callback) 등을 악용해 보안 솔루션을 제거하는 기법을 말한다.
해외에서도 유럽 사이버보안청과 미국 통화감독청 등이 랜섬웨어 공격의 심각성을 경고하며, 보안 프레임워크와 사이버 복원력의 중요성을 강조하고 있다. 미국 연방수사국(FBI)과 영국국가범죄청(NCA) 등 수사기관도 국제 랜섬웨어 그룹을 소탕하기 위해 합동으로 ‘크로노스 작전’(Operation Cronos)를 진행한 바 있다.
▲해외 주요 금융권 피해 사례 [자료:금융보안원]
국내에서도 최근 온라인서점 예스24 랜섬웨어 사건을 비롯해 SGI서울보증과 웰컴금융그룹 등에서 랜섬웨어 사건이 잇달아 벌어졌다. 특히 건라와 킬린은 세계적으로 활발한 활동을 펼쳐 각별한 유의가 필요하다.
국내 정조준한 주요 랜섬웨어 그룹들
보고서는 최근 국내 금융권을 목표로 삼은 랜섬웨어 그룹의 활동을 소개했다.
건라(Gunra)는 올해 4월 처음 확인된 신생 랜섬웨어 그룹이다. 초기엔 윈도우 기기를 겨냥해 활동했으나, 7월 리눅스 변종이 발견됐다. 콘티(v2) (Conti(v2)) 랜섬웨어와 코드 유사성이 확인된 그룹이다.
7월 SGI서울보증을 공격한 장본인이고, 앞선 5월 UAE 아메리칸호스피탈을 공격했다. 피해 조직에 R3ADM3.txt란 이름의 랜섬노트를 제시하며, 데이터 유출 관련 다크웹 협상 포털을 운영한다. 데이터 암호화와 유출 협박을 병행하는 이중 갈취 전략을 사용한다.
이들은 스피어피싱 또는 SSL-VPN 등 취약한 외부 접근 시스템을 악용한 초기 침투 전략을 사용하며, 접근 통제가 제대로 안 된 VDI나 AD 등 공유 자원을 통해 감염을 확산한다. WMI/WMIC를 활용한 볼륨 복사본 삭제로 탐지를 우회하고, ENCRT 확장자 생성·R3ADM3.txt 랜섬노트 생성·백업 서버 접근으로 암호화 작업을 마무리한다.
국내 사례에선 방화벽 기업 시큐위즈 SSL-VPN을 악용한 것으로 알려졌다.
킬린(Qilin)은 2022년 7월 경 등장해 ‘아젠다’(Agenda)로 알려졌던 그룹으로, 킬린이란 이름으로 리브랜딩했다. 고(Go)와 RUST 기반 언어로 제작된 랜섬웨어를 사용하는 것이 특징으로, 러시아권 기반 조직으로 보이는 정황이 확인됐다.
8월 웰컴금융그룹, 9월 전산관리 업체 지제이텍을 비롯한 국내 자산운용사 10여 곳을 공격했다. 4월엔 미국 리치몬드 CPA 회계법인을 공격했다. 이중 갈취 전략과 함께, 다크웹에서 제3자에게 랜섬웨어 유포 패키지를 제공하는 서비스형 랜섬웨어(RaaS) 사업도 하고 있다.
칼린은 SSL-VPN 등 외부에서 접근 가능한 시스템의 취약점을 악용해 원격 접속 시스템의 시스템 계정 등 자격 증명을 탈취하는 방식을 활용한다. AD 공격과 PsExec·CobaltStrike·Mimikatz 도구를 통한 추가 인프라 장악을 진행한다. 이어 애니데스크(Anydesk)나 코넥트와이즈(ConnectWise) 등 원격 모니터링 도구를 설치해 감염을 확산하고, EDF샌드블라스트(EDRSandBlast) 같은 탐지 우회 도구를 활용한다. 스모크로더(smokeLoader)→넥스트로더(NEXTLOADER)→킬린으로 이어지는 다단계 악성코드 설치를 통해 피해 기업 데이터를 암호화한다.
▲칼린 랜섬웨어의 감염 경로 및 특징 [자료:금융보안원]
바북(babuk)은 2021년 1월 경 처음 등장했지만, 6월과 9월 소스코드 유출 이후 여러 파생 그룹으로 분할된 그룹이다. 올해 1월 ‘바북 2.0’으로 다크웹 사이트를 오픈했으나, 기존 그룹과 연관성은 모호한 상황이다.
바북은 등장 초기인 2021년 4월 미국 메트로폴리탄 경찰청을 공격하며 이름을 알렸다. 국내에선 4월 부동산 전문 자산운용사 마스턴투자운용을 공격해 고객과 임직원 개인정보를 유출했다. 이 그룹은 윈도우, ESXi, NAS 등 플랫폼별 랜섬웨어 사용이 확인됐고, ‘Curve25519 ECDH’ 키교환 방식 등 리눅스 자원 가상화 변종이 다수 확인됐다.
바북은 1.0과 2.0의 공격 방식에 차이를 보인다. 2021년 활동한 1.0은 MS 확장 프록시쉘 체인을 악용한 원격코드 실행과 초퍼(Chopper) 웹쉘 및 랜섬웨어 설치 방식을 즐겨 썼고, 2.0은 SSL-VPN을 통한 내부 침투를 노렸다.
초기 침투 후 확산 과정은 일반적 랜섬웨어와 비슷하다. 관리자 계정을 생성해 원격 접속·파일 전송 프로그램을 설치하고, 윈도우 이벤트로 삭제와 백신·백업 관련 프로세스를 중지시키는 방식으로 탐지를 우회한다.
로르샤흐(Rorschach)는 2022년 6월 경 첫 등장한 랜섬웨어 그룹이다. 공식 유출 사이트나 별도 브랜딩 등 활동이 없어 피해 사례가 잘 알려지지 않았지만, 기술적으로 정교하게 제작된 랜섬웨어를 활용한다.
주요 피해 사례로는 2023년 10월 칠레 통신기업 그루포(Grupo)GTD가 있다. 국내에선 6월 예스24 랜섬웨어 공격 그룹으로 알려졌다. 이 그룹 랜섬웨어는 빠른 암호화 속도와 보안 프로그램을 이용한 DLL 사이드로딩, 자가 확산, 이벤트 로그 삭제, 방화벽 비활성화 기능 등 보안 대책을 우회하는 다양한 기능을 탑재했다.
로르샤흐 랜섬웨어의 초기 침투 경로에 대한 정보는 알려지지 않았다. 다만, 내부 침투 이후 정상 프로세스를 악용하고 도메인 컨트롤러를 장악해 랜섬웨어를 유포한다.
▲로르샤흐 랜섬웨어의 감염 경로 및 특징 [자료:금융보안원]
서비스형 랜섬웨어(RaaS) 그룹인 크립토24(Crypto24)는 지난해 9월부터 RAMP 다크웹 포럼을 중심으로 활동 중이다. 정밀한 다단계 침투와 보안 솔루션 무력화에 특화된 기법을 사용한다.
국내 피해 사례는 아직 알려진 바 없지만, 4월 베트남 IT 기업 CMC그룹(CMC Group)과 7월 말레이시아 투자 지주회사 와리산TC홀딩스(WTCH) 데이터 유출 공격의 배후로 지목됐다.
크립토24 초기 침투 경로는 스피어피싱으로 추정되며, 유효 계정을 생성하고 EDR 보안 솔루션을 우회하는 등의 방법을 통해 랜섬웨어를 유포한다. 이 그룹은 암호화한 파일의 확장자를 ‘crypto24’ 확장자로 변경하고 ‘Decryption.txt’ 랜섬노트를 남긴다. 구글 드라이브를 활용해 정보를 유출했다.
디지털 의존도 높은 국내 산업, 보완 관리 및 데이터 백업 강화 등 대응 방안 필요해
금융보안원은 최근 우리나라를 대상으로 한 랜섬웨어 공격이 성행하는 이유로 △글로벌 랜섬웨어 비즈니스 모델 정착 △팬데믹으로 인한 보안 부채 △Always-On 산업 구조 등을 꼽았다.
최근 랜섬웨어는 개별 그룹의 공격 수준을 넘어 분업화된 조직이 운영하는 하나의 비즈니스 모델로 진화했다. RaaS는 일반인도 랜섬웨어 공격이 가능한 ‘랜섬웨어 대중화’를 이끌었다. 또 데이터 암호화를 통한 인질극과 유출 협박을 병행하는 ‘이중 갈취’ 전략은 디도스(DDos) 공격과 고객·파트너·미디어 등 제3자 압박을 병행하는 ‘사중 갈취’ 트렌드로 진화하고 있다.
코로나19 팬데믹을 계기로 원격 근무 환경이 보편화되면서 늘어난 ┖공격표면┖도 문제다. 편의를 중시하며 보안 패치를 적용하지 않은 VPN 장비와 원격 데스크톱, 외부 접근이 가능한 네트워크 스토리지는 랜섬웨어의 가장 흔한 초기 침투 경로로 악용되고 있다.
디지털 의존도가 높은 국내 산업의 특성 때문에 일시적 장애에도 막대한 피해가 발생할 수 있다. 이는 랜섬웨어 그룹이 국내 기업을 노리는 이유 중 하나다. 협상이 용이하기 때문이다. 특히 금융권은 일시적 장애를 넘어 개인신용정보와 거래 정보 등 자산 관련 민감 정보를 다수 보유해 정보 유출과 협박에 취약하다.
앞으로 더 늘어날 랜섬웨에 위협에 대비할 방안으로 금융보안원은 보안 관리와 데이터 백업 강화를 강조했다.
외부에서 접근할 수 있는 VPN과 원격·백업 서버 등 경계 장비 취약점, 시스템 자격 증명 탈취로 인한 초기 침투 사례가 지속적으로 확인되는 만큼 공격표면 관리가 중요하다는 것이다.
또 불필요한 원격 데스크톱과 SSH 포트 접속을 악용한 측면 전파를 의식해 방화벽 정책을 재검토해야 한다. 인프라 관리 시스템 보안 설정을 강화하고, 공유 자원 접근 통제 및 네트워크 세분화를 통한 용도별 망 분리 같은 확산 방지책을 채택해 인프라·공유 자원 관리를 강화해야 한다.
데이터 백업을 위해선 3개의 사본, 2개의 서로 다른 저장매체, 1개의 오프사이트 백업을 두는 3-2-1 보관 전략과 일간·주간·월간 등 주기별 자동화 백업 실시, 데이터 간 무결성 점검을 권고했다. 정기적 복구 훈련을 통해 데이터 삭제 및 오염 등 무결성을 확인하고, 복구 체계의 유효성을 검증해야 한다.
[조재호 기자(sw@boannews.com)]
공격표면 관리·방화벽 정책·백업 체계 점검 등 대응 방안 제시
[보안뉴스 조재호 기자] 건라, 킬린, 로르샤흐 같은 랜섬웨어 그룹의 이름이 마냥 낯설지 않다. 최근 국내 산업 전반에 이들의 그림자가 짙게 드리웠기 때문이다. ‘한국은 미슐랭 3 스타급 해킹 맛집’이란 자조적 평가를 내리는 전문가도 있다.
[자료: gettyimagesbank]
22일 <보안뉴스>가 입수한 금융보안원 ‘최근 랜섬웨어 공격 동향 및 시사점’ 보고서에 따르면 올해 상반기 다크웹 유출 사이트에 확인된 랜섬웨어 감염 기업은 3500개에 달한다. 지난해 같은 기간 2290여개에 비해 약 58% 증가했다.
산업군별 피해 규모는 △일반 비즈니스 △제조 △리테일 △건설 △금융 △통신 △소프트웨어 순으로 나타났다. 금융권 피해가 전년보다 큰 폭으로 증가해 5위를 기록했다. 또 정부 기관과 국가 주요 인프라를 대상으로 한 공격도 25건에서 67건으로 약 3배 늘어났다.
신규 랜섬웨어는 기술 측면에선 △백업 삭제 △커널 레벨 보안 솔루션 무력화(EDR-Killer) 같은 정교한 공격기법을 쓴다는 특징이 있다. 건라, 킬린, 럭키 등이 대표적이다. EDR-킬러( EDR-Killer)는 취약한 정상 드라이버를 설치해 권한을 높이거나 콜백(Callback) 등을 악용해 보안 솔루션을 제거하는 기법을 말한다.
해외에서도 유럽 사이버보안청과 미국 통화감독청 등이 랜섬웨어 공격의 심각성을 경고하며, 보안 프레임워크와 사이버 복원력의 중요성을 강조하고 있다. 미국 연방수사국(FBI)과 영국국가범죄청(NCA) 등 수사기관도 국제 랜섬웨어 그룹을 소탕하기 위해 합동으로 ‘크로노스 작전’(Operation Cronos)를 진행한 바 있다.
▲해외 주요 금융권 피해 사례 [자료:금융보안원]
국내에서도 최근 온라인서점 예스24 랜섬웨어 사건을 비롯해 SGI서울보증과 웰컴금융그룹 등에서 랜섬웨어 사건이 잇달아 벌어졌다. 특히 건라와 킬린은 세계적으로 활발한 활동을 펼쳐 각별한 유의가 필요하다.
국내 정조준한 주요 랜섬웨어 그룹들
보고서는 최근 국내 금융권을 목표로 삼은 랜섬웨어 그룹의 활동을 소개했다.
건라(Gunra)는 올해 4월 처음 확인된 신생 랜섬웨어 그룹이다. 초기엔 윈도우 기기를 겨냥해 활동했으나, 7월 리눅스 변종이 발견됐다. 콘티(v2) (Conti(v2)) 랜섬웨어와 코드 유사성이 확인된 그룹이다.
7월 SGI서울보증을 공격한 장본인이고, 앞선 5월 UAE 아메리칸호스피탈을 공격했다. 피해 조직에 R3ADM3.txt란 이름의 랜섬노트를 제시하며, 데이터 유출 관련 다크웹 협상 포털을 운영한다. 데이터 암호화와 유출 협박을 병행하는 이중 갈취 전략을 사용한다.
이들은 스피어피싱 또는 SSL-VPN 등 취약한 외부 접근 시스템을 악용한 초기 침투 전략을 사용하며, 접근 통제가 제대로 안 된 VDI나 AD 등 공유 자원을 통해 감염을 확산한다. WMI/WMIC를 활용한 볼륨 복사본 삭제로 탐지를 우회하고, ENCRT 확장자 생성·R3ADM3.txt 랜섬노트 생성·백업 서버 접근으로 암호화 작업을 마무리한다.
국내 사례에선 방화벽 기업 시큐위즈 SSL-VPN을 악용한 것으로 알려졌다.
킬린(Qilin)은 2022년 7월 경 등장해 ‘아젠다’(Agenda)로 알려졌던 그룹으로, 킬린이란 이름으로 리브랜딩했다. 고(Go)와 RUST 기반 언어로 제작된 랜섬웨어를 사용하는 것이 특징으로, 러시아권 기반 조직으로 보이는 정황이 확인됐다.
8월 웰컴금융그룹, 9월 전산관리 업체 지제이텍을 비롯한 국내 자산운용사 10여 곳을 공격했다. 4월엔 미국 리치몬드 CPA 회계법인을 공격했다. 이중 갈취 전략과 함께, 다크웹에서 제3자에게 랜섬웨어 유포 패키지를 제공하는 서비스형 랜섬웨어(RaaS) 사업도 하고 있다.
칼린은 SSL-VPN 등 외부에서 접근 가능한 시스템의 취약점을 악용해 원격 접속 시스템의 시스템 계정 등 자격 증명을 탈취하는 방식을 활용한다. AD 공격과 PsExec·CobaltStrike·Mimikatz 도구를 통한 추가 인프라 장악을 진행한다. 이어 애니데스크(Anydesk)나 코넥트와이즈(ConnectWise) 등 원격 모니터링 도구를 설치해 감염을 확산하고, EDF샌드블라스트(EDRSandBlast) 같은 탐지 우회 도구를 활용한다. 스모크로더(smokeLoader)→넥스트로더(NEXTLOADER)→킬린으로 이어지는 다단계 악성코드 설치를 통해 피해 기업 데이터를 암호화한다.
▲칼린 랜섬웨어의 감염 경로 및 특징 [자료:금융보안원]
바북(babuk)은 2021년 1월 경 처음 등장했지만, 6월과 9월 소스코드 유출 이후 여러 파생 그룹으로 분할된 그룹이다. 올해 1월 ‘바북 2.0’으로 다크웹 사이트를 오픈했으나, 기존 그룹과 연관성은 모호한 상황이다.
바북은 등장 초기인 2021년 4월 미국 메트로폴리탄 경찰청을 공격하며 이름을 알렸다. 국내에선 4월 부동산 전문 자산운용사 마스턴투자운용을 공격해 고객과 임직원 개인정보를 유출했다. 이 그룹은 윈도우, ESXi, NAS 등 플랫폼별 랜섬웨어 사용이 확인됐고, ‘Curve25519 ECDH’ 키교환 방식 등 리눅스 자원 가상화 변종이 다수 확인됐다.
바북은 1.0과 2.0의 공격 방식에 차이를 보인다. 2021년 활동한 1.0은 MS 확장 프록시쉘 체인을 악용한 원격코드 실행과 초퍼(Chopper) 웹쉘 및 랜섬웨어 설치 방식을 즐겨 썼고, 2.0은 SSL-VPN을 통한 내부 침투를 노렸다.
초기 침투 후 확산 과정은 일반적 랜섬웨어와 비슷하다. 관리자 계정을 생성해 원격 접속·파일 전송 프로그램을 설치하고, 윈도우 이벤트로 삭제와 백신·백업 관련 프로세스를 중지시키는 방식으로 탐지를 우회한다.
로르샤흐(Rorschach)는 2022년 6월 경 첫 등장한 랜섬웨어 그룹이다. 공식 유출 사이트나 별도 브랜딩 등 활동이 없어 피해 사례가 잘 알려지지 않았지만, 기술적으로 정교하게 제작된 랜섬웨어를 활용한다.
주요 피해 사례로는 2023년 10월 칠레 통신기업 그루포(Grupo)GTD가 있다. 국내에선 6월 예스24 랜섬웨어 공격 그룹으로 알려졌다. 이 그룹 랜섬웨어는 빠른 암호화 속도와 보안 프로그램을 이용한 DLL 사이드로딩, 자가 확산, 이벤트 로그 삭제, 방화벽 비활성화 기능 등 보안 대책을 우회하는 다양한 기능을 탑재했다.
로르샤흐 랜섬웨어의 초기 침투 경로에 대한 정보는 알려지지 않았다. 다만, 내부 침투 이후 정상 프로세스를 악용하고 도메인 컨트롤러를 장악해 랜섬웨어를 유포한다.
▲로르샤흐 랜섬웨어의 감염 경로 및 특징 [자료:금융보안원]
서비스형 랜섬웨어(RaaS) 그룹인 크립토24(Crypto24)는 지난해 9월부터 RAMP 다크웹 포럼을 중심으로 활동 중이다. 정밀한 다단계 침투와 보안 솔루션 무력화에 특화된 기법을 사용한다.
국내 피해 사례는 아직 알려진 바 없지만, 4월 베트남 IT 기업 CMC그룹(CMC Group)과 7월 말레이시아 투자 지주회사 와리산TC홀딩스(WTCH) 데이터 유출 공격의 배후로 지목됐다.
크립토24 초기 침투 경로는 스피어피싱으로 추정되며, 유효 계정을 생성하고 EDR 보안 솔루션을 우회하는 등의 방법을 통해 랜섬웨어를 유포한다. 이 그룹은 암호화한 파일의 확장자를 ‘crypto24’ 확장자로 변경하고 ‘Decryption.txt’ 랜섬노트를 남긴다. 구글 드라이브를 활용해 정보를 유출했다.
디지털 의존도 높은 국내 산업, 보완 관리 및 데이터 백업 강화 등 대응 방안 필요해
금융보안원은 최근 우리나라를 대상으로 한 랜섬웨어 공격이 성행하는 이유로 △글로벌 랜섬웨어 비즈니스 모델 정착 △팬데믹으로 인한 보안 부채 △Always-On 산업 구조 등을 꼽았다.
최근 랜섬웨어는 개별 그룹의 공격 수준을 넘어 분업화된 조직이 운영하는 하나의 비즈니스 모델로 진화했다. RaaS는 일반인도 랜섬웨어 공격이 가능한 ‘랜섬웨어 대중화’를 이끌었다. 또 데이터 암호화를 통한 인질극과 유출 협박을 병행하는 ‘이중 갈취’ 전략은 디도스(DDos) 공격과 고객·파트너·미디어 등 제3자 압박을 병행하는 ‘사중 갈취’ 트렌드로 진화하고 있다.
코로나19 팬데믹을 계기로 원격 근무 환경이 보편화되면서 늘어난 ┖공격표면┖도 문제다. 편의를 중시하며 보안 패치를 적용하지 않은 VPN 장비와 원격 데스크톱, 외부 접근이 가능한 네트워크 스토리지는 랜섬웨어의 가장 흔한 초기 침투 경로로 악용되고 있다.
디지털 의존도가 높은 국내 산업의 특성 때문에 일시적 장애에도 막대한 피해가 발생할 수 있다. 이는 랜섬웨어 그룹이 국내 기업을 노리는 이유 중 하나다. 협상이 용이하기 때문이다. 특히 금융권은 일시적 장애를 넘어 개인신용정보와 거래 정보 등 자산 관련 민감 정보를 다수 보유해 정보 유출과 협박에 취약하다.
앞으로 더 늘어날 랜섬웨에 위협에 대비할 방안으로 금융보안원은 보안 관리와 데이터 백업 강화를 강조했다.
외부에서 접근할 수 있는 VPN과 원격·백업 서버 등 경계 장비 취약점, 시스템 자격 증명 탈취로 인한 초기 침투 사례가 지속적으로 확인되는 만큼 공격표면 관리가 중요하다는 것이다.
또 불필요한 원격 데스크톱과 SSH 포트 접속을 악용한 측면 전파를 의식해 방화벽 정책을 재검토해야 한다. 인프라 관리 시스템 보안 설정을 강화하고, 공유 자원 접근 통제 및 네트워크 세분화를 통한 용도별 망 분리 같은 확산 방지책을 채택해 인프라·공유 자원 관리를 강화해야 한다.
데이터 백업을 위해선 3개의 사본, 2개의 서로 다른 저장매체, 1개의 오프사이트 백업을 두는 3-2-1 보관 전략과 일간·주간·월간 등 주기별 자동화 백업 실시, 데이터 간 무결성 점검을 권고했다. 정기적 복구 훈련을 통해 데이터 삭제 및 오염 등 무결성을 확인하고, 복구 체계의 유효성을 검증해야 한다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)