2021-12-02 15:55 (목)
마운트락커 랜섬웨어 갱단, 조직 및 변종 악성코드 확대…각별히 주의해야
상태바
마운트락커 랜섬웨어 갱단, 조직 및 변종 악성코드 확대…각별히 주의해야
  • 길민권 기자
  • 승인 2020.12.13 14:31
이 기사를 공유합니다

2020년 7월에 시작된 마운트락커(MountLocker) 랜섬웨어는 암호화 이전에 파일을 훔치고 훔친 데이터를 공개하겠다고 협박해 수백만 달러의 몸값을 요구하는 조직으로 악명이 높다.

블랙베리 리서치와 인텔리전스팀 연구원은 "MountLocker 공격그룹은 여러 계열사를 운영하며 지난 7월부터 서서히 랜섬웨어 공격과 데이터 탈취 후 유포 협박을 하며 엄청남 램섬머니를 요구하는 조직으로 자리잡았다”며 "또 MountLocker는 상당히 빠르게 민감한 문서를 신속하게 추출하고 몇 시간 만에 암호화시켜 버린다. 또한 지난달 운영을 중단한 Maze 랜섬웨어 그룹과 협력해 정보를 유출하기도 했다”고 전했다.

블랙베리 분석에 따르면, MountLocker는 네트워크 정찰(AdFind)과 랜섬웨어 악성코드를 유포하고 감염된 네트워크에 침투해 측면 확산 이후 FTP를 통해 중요한 데이터를 유출한다고 밝혔다.

공격그룹은 실행시 보안 소프트웨어를 종료하고, ChaCha20 암호를 사용해 암호화를 트리거하고, Tor.onion URL에 대한 링크를 포함하는 랜섬 노트를 생성해 다크웹 채팅 서비스를 통해 범죄자들과 연락해 암호 해독 가격을 협상한다.

이들은 RSA-2048 공개키를 사용해 암호화키를 암호화하고, 볼륨섀도 복사본을 삭제해 암호화 된 파일의 복원을 방해하고, 결국 디스크에서 자신을 제거해 트랙을 숨긴다.

블랙베리 연구원들은 특히 MountLocker 그룹이 새로운 변종을 확대해 가고 있고 계속해서 랜섬웨어 공격을 반전시켜 나가고 있다고 우려했다.

★정보보안 대표 미디어 데일리시큐!★