랜섬웨어 개발자들이 기업과 정부 기관을 공격해 많은 돈을 벌어들이면서 새로운 랜섬웨어가 계속 개발되고 있다.

최근에는 랜섬웨어 제작자들이 노출된 원격 데스크톱 서비스를 해킹한 후 기업 환경을 노리는 최신 랜섬웨어 ‘TFlower’를 설치하고 있다는 외신보도가 나왔다.

8월 초 악성 해커들은 TFlower 랜섬웨어를 실제 공격에 사용한 것으로 조사됐다. 랜섬웨어 사고 대응 보안기업은 TFlower가 더욱 강해지고 있다고 밝혔다. 기업들의 각별한 주의가 요구된다.

공격 방법은, 공격자들이 노출된 원격 데스크톱 서비스를 해킹해 기업 네트워크에 TFlower를 설치하고 기기 침투에 성공하면, 로컬 머신을 감염시키거나 PowerShell Empire, PSExec와 같은 툴을 통해 네트워크 탐색을 시도한다.

이후 랜섬웨어가 실행되면 컴퓨터를 암호화하는 동안 랜섬웨어가 수행하는 활동을 보여주는 콘솔이 표시된다. 그 후 C&C 서버에 다시 연결해 컴퓨터 암호화가 시작되었다고 알린다.

이번에 발견된 샘플들 중 하나는 해킹된 워드프레스 사이트에 C&C 서버를 두고 있었다. 이후 섀도우 볼륨 복사본을 삭제하고 윈도우 10 복구 환경을 비활성화하는 명령을 실행한다.

또한 데이터 파일을 암호화하기 위해 Outlook.exe 프로세스를 찾아 종료한다. 이후 Windows, Sample Music 폴더 내 파일을 제외하고 컴퓨터의 데이터를 암호화한다.

파일을 암호화할 때 특이한 확장자를 추가하지는 않지만, *tflower 표시를 암호화된 파일의 맨 앞에 붙인다. 컴퓨터 암호화가 완료되면, C2에 아래와 같은 형태로 상태 업데이트를 보냅니다. 그리고 컴퓨터 전체와 바탕화면에 "!_Notice_!.txt"라는 랜섬노트를 생성한다.

이 랜섬노트는 피해자들에게 돈을 지불하는 방법을 안내한다. TFlower의 랜섬금액이 얼마로 책정되어 있는지는 아직까지 밝혀지지 않았다. 또한 TFlower는 아직 연구 중이며 파일을 무료로 복호화 할 수 있는 방법이 알려져 있지 않은 상황이다.

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★