2021년 첫 기업용 랜섬웨어인 Babuk Locker 발견

 

 

Babuk Locker is the first new enterprise ransomware of 2021

 

새해가 밝았고, 인간 개입 공격을 통해 기업 피해자를 노리는 Babuk Locker라는 랜섬웨어가 발견되었습니다.

 

Babuk Locker는 2021년 활동을 시작한 새로운 랜섬웨어로, 전 세계에서 약간의 피해자를 발생시켰습니다.

 

BleepingComputer가 발견한 피해자가 요구 받은 랜섬머니 금액은 $60,000 ~ $85,000 였습니다.

 

Babuk Locker가 기기를 암호화하는 방법

 

연구원들이 분석한 Babuk Locker의 각 실행 파일은 하드코딩된 확장프로그램, 랜섬노트, 피해자용 Tor URL을 포함하도록 피해자별로 커스텀되어 있었습니다.

 

이 새로운 랜섬웨어를 분석한 또 다른 보안 연구원인 Chuong Dong에 따르면, Babuk Locker의 코딩은 아마추어스러웠지만, 피해자가 파일을 무료로 복호화할 수 없도록 안전한 암호화법이 적용되어 있었습니다.

 

“이 코딩은 아마추어적인 방식으로 작성되었지만, 지금까지 많은 기업을 효과적으로 공격한 Elliptic-curve Diffie–Hellman 알고리즘을 사용하는 강력한 암호화 체계를 사용하고 있었습니다.”

 

이 악성코드가 시작되면, 공격자는 명령줄 인수를 사용하여 랜섬웨어가 네트워크 공유를 암호화할지, 로컬 파일 시스템보다 먼저 암호화해야 할지를 제어할 수 있게 됩니다. 이 행동을 제어하는 명령줄 인수는 아래와 같습니다.

 

-lanfirst
-lansecond
-nolan

 

랜섬웨어가 실행되면 파일을 오픈된 상태로 유지해 암호화를 막는 다양한 윈도우 서비스와 프로세스를 종료합니다. 종료되는 프로그램에는 데이터베이스 서버, 메일 서버, 백업 소프트웨어, 메일 클라이언트, 웹 브라우저 등이 포함됩니다.

 

Babuk Locker는 파일을 암호화할 때 아래와 같이 하드코딩된 확장자를 사용하여 암호화된 각 파일에 붙입니다. 지금까지 모든 피해자들에게 사용된 하드코딩된 확장자는 .__NIST_K571__ 입니다.

 

 

 

< 이미지 출처 : https://www.bleepingcomputer.com/news/security/babuk-locker-is-the-first-new-enterprise-ransomware-of-2021/>

<Babuk Locker로 암호화된 파일>

 

 

또한 랜섬노트인 ‘How To Restore Your Files.txt’ 파일이 각 폴더에 생성됩니다. 이 랜섬노트는 공격으로 인해 어떤 일이 일어났는지에 대한 기본적인 정보와 랜섬웨어 운영자와 협상이 가능한 Tor 사이트로 연결되는 링크를 포함하고 있습니다.

 

BleepingComputer가 확인한 랜섬노트 중 하나에는 피해자의 이름과 공격자가 암호화되기 전의 파일을 훔쳤다는 것을 증명하는 이미지의 링크가 포함되어 있었습니다.

 

 

< 이미지 출처 : https://www.bleepingcomputer.com/news/security/babuk-locker-is-the-first-new-enterprise-ransomware-of-2021/>

<Babuk Locker 랜섬노트>

 

 

Babuk Locker의 Tor 사이트는 화려하게 꾸며져 있지 않고, 단순히 피해자가 공격자와 대화하여 랜섬머니를 협상할 수 있는 챗 화면만을 포함합니다.

 

랜섬머니 협상 과정에서, 공격자는 피해자에게 사이버 보험이 있는지, 랜섬웨어 복구 회사와 협력 중인지 확인합니다.

 

 

< 이미지 출처 : https://www.bleepingcomputer.com/news/security/babuk-locker-is-the-first-new-enterprise-ransomware-of-2021/>

<피해자의 Babuk Locker Tor 챗>

 

 

이 랜섬웨어 운영자는 또한 피해자에게 피해자의 공개 ECDH 키를 포함하는 %AppData%\ecdh_pub_k.bin 파일을 요청합니다. 공격자는 이를 통해 피해자의 파일을 테스트로 복호화하거나 복호화 툴을 제공할 수 있습니다.

 

안타깝게도, Dong은 해당 랜섬웨어가 ChaCha8 및 ECDH(Elliptic-curve Diffie–Hellman) 알고리즘을 사용하고 있기 때문에 안전한 방식으로 암호화되어 있고 무료로 복호화가 불가능하다고 밝혔습니다.

 

훔친 데이터를 해커 포럼에 유출해

 

랜섬웨어는 일반적으로 네트워크의 장치를 암호화하기 전 피해자의 데이터를 먼저 훔치는 것입니다. 공격자는 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터를 유출하겠다고 협박합니다.

 

대부분의 랜섬웨어 제작자들은 훔친 데이터를 게시하기 위해 공개 랜섬웨어 데이터 유출 사이트를 만들었습니다.

 

하지만 Babuk Locker는 현재 해커 포럼을 통해 훔친 데이터를 유출하고 있었습니다.

 

Babuk Locker에 피해를 입은 것으로 알려진 전 세계의 회사 5곳은 아래를 포함합니다.

 

- 엘리베이터/에스컬레이터 회사
- 사무용 가구 제조업체
- 자동차 부품 제조업체
- 의료 검진 제품 제조업체
- 미국의 냉난방 시스템 회사

 

이 중 적어도 한 피해자는 $85,000 상당의 랜섬머니를 지불하는데 동의했습니다.

 

Babuk Locker 운영자는 해커 포럼에서 곧 전용 데이터 유출 사이트를 오픈할 계획이라 밝혔습니다.

 

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Filecoder’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/babuk-locker-is-the-first-new-enterprise-ransomware-of-2021/

http://chuongdong.com/reverse%20engineering/2021/01/03/BabukRansomware/