상세 컨텐츠
본문
Bizarre ransomware sells decryptor on Roblox Game Pass store
복호화 툴을 Roblox 게임 플랫폼의 게임 내 통화인 Robux로 판매하는 특이한 접근 방식을 사용하는 새로운 랜섬웨어가 발견되었습니다.
Roblox는 회원들이 게임 내 아이템, 특별 액세스, 향상된 기능을 제공하는 Game Pass를 판매해 자신만의 게임을 만들고 수익을 창출할 수 있는 온라인 어린이 게임 플랫폼입니다.
이 게임 패스를 구매하려면 회원은 Robux라는 게임 내 통화를 사용해야 합니다.
Roblox에서 암호 해독기 판매해
보안 연구원인 MalwareHunterTeam은 악명 높은 Ryuk 랜섬웨어를 사칭하는 새로운 랜섬웨어인 'WannaFriendMe'를 발견했습니다. 하지만 이는 실제로는 Chaos 랜섬웨어의 변종이었습니다.
2021년 6월, 공격자는 초보 해커들이 맞춤형 랜섬노트, 암호화된 파일 확장자 및 기타 기능을 통해 자신만의 랜섬웨어를 만들 수 있는 Chaos 랜섬웨어 빌더를 판매하기 시작했습니다.
기본적으로 Chaos 빌더는 아래와 같이 암호화된 파일에 대해 .ryuk 확장자를 사용하여 Ryuk인 것처럼 가장합니다.
<Chaos 랜섬웨어 변종으로 암호화된 파일>
새로운 WannaFriendMe 랜섬웨어의 특이한 점은 가상 화폐를 요구하는 대신 피해자가 Robux를 통해 Roblox의 Game Pass 스토어에서 복호화 툴을 구매해야 한다는 것입니다. 랜섬노트의 내용은 아래와 같습니다.
----- 파일이 암호화되었습니다! ------
당황하지 마세요. 파일은 자체 복호화 툴로 해독할 수 있습니다! 이 복호화 툴을 얻으려면 게임 패스를 구입해야 합니다.
https://www.roblox.com/game-pass/49955147/Ryuk-Decrypter
이를 위해서는 ROBLOX 계정이 필요하며, 1700 ROBUX를 구입한 후 위 게임패스를 구입하시기 바랍니다.
게임패스를 구매한 후 사용자 계정과 게임패스를 구매한 것을 증명하는 스크린샷을 xxx@icloud.com에 보내시기 바랍니다. 게임패스를 삭제하지 마세요.
Roblox Game Pass의 스토어 URL을 방문하면 'iRazormind'라는 사용자가 'Ryuk Decrypter'를 1,499 Robux에 판매 중이며, 이는 6월 5일에 마지막으로 업데이트되었음을 확인할 수 있습니다.
<Roblox Game Pass로 판매되는 복호화 툴>
Chaos 랜섬웨어 변종의 문제는 데이터를 암호화할 뿐만 아니라 대부분 이를 파괴한다는 것입니다.
장치를 암호화하는 동안 크기가 2MB보다 큰 파일은 암호화되지 않은 임의 데이터로 덮어씁니다. 즉, 복호화기를 구입하더라도 2MB 미만의 파일만 복구할 수 있다는 것입니다.
<파일 파괴 방법을 보여주는 WannaFriendMe의 소스코드>
이 랜섬웨어가 어떻게 배포되는지, 또는 공격에 사용되었는지는 확실하지 않지만 파괴적인 특성과 어린 게이머를 노리는 공격으로 인해 상당한 피해를 입힐 수 있습니다.
현재 알약에서는 해당 악성코드 샘플에 대해 ‘IL:Trojan.MSILZilla.5554’로 탐지 중입니다.
출처:
https://twitter.com/malwrhunterteam/status/1534908829929984000 (IOC)
'국내외 보안동향' 카테고리의 다른 글
| Atlassian Confluence 서버의 CVE-2022-26134 RCE 취약점, 랜섬웨어 배포에 악용돼 (0) | 2022.06.13 |
|---|---|
| Hello XD 랜섬웨어, 암호화 중 백도어 드롭해 (0) | 2022.06.13 |
| 새로운 Symbiote 악성코드, 리눅스 시스템의 모든 실행 중인 프로세스 감염시켜 (0) | 2022.06.10 |
| Emotet 악성코드, 구글 크롬 유저의 신용카드 훔쳐 (0) | 2022.06.09 |
| Evil Corp 사이버 그룹, 제재 피하기 위해 LockBit 랜섬웨어로 전환해 (0) | 2022.06.09 |
댓글 영역