사이버 공격자들, 랜섬웨어 전파를 위해 로열 메일 사칭 사용
서두르시는 분들을 위해, 빠른 정보를 확인해보세요!
- Proofpoint는 로열 메일을 가장한 랜섬웨어 캠페인을 공개했습니다.
- 복호화에 대한 몸값 요구액은 비트코인으로 400달러였습니다.
- 이 랜섬은 이익보다는 파괴를 목표로 설계되었습니다.
수요일에 Proofpoint 연구원들이 영국의 우편 배달 서비스인 Royal Mail을 가장하여 Prince 랜섬웨어를 배포하는 사이버 전략을 폭로하는 보고서를 발표했습니다.
이 랜섬웨어 변형은 GitHub에서 공개적으로 사용할 수 있으며, 교육적 목적으로만 사용될 것이라는 선언문을 포함하고 있습니다. 그러나 이것은 영국과 미국의 조직에 영향을 미치는 대상 지정 공격에서 무기화되었습니다.
프린스 랜섬웨어 공격은 공격자들이 로열 메일을 가장하고, 표적으로 삼은 조직들의 웹사이트에 있는 공개 연락처 양식을 이용하여 오해를 불러일으키는 이메일을 보내는 것으로 시작되었습니다. 이러한 이메일들은 Dropbox에 호스팅된 ZIP 파일로 연결되는 PDF를 포함하고 있어, 피해자들을 다운로드하도록 유인하였습니다.
ZIP 파일 안에는 두 번째 비밀번호로 보호된 ZIP과 함께, 비밀번호를 공개하는 텍스트 파일이 있었습니다. 이로 인해 피해자들은 거짓의 안전감을 느끼게 되었습니다.
한 번 열리면, 단축파일은 시스템의 임시 디렉토리에 여러 파일을 생성하는 난독화된 JavaScript 코드를 실행했습니다. 이 코드는 PowerShell 스크립트를 사용하여 보안 조치를 우회하고, 컴퓨터가 유휴 상태일 때마다 20분마다 실행되어 지속성을 확보했습니다.
랜섬웨어가 실행되면, 피해자의 파일을 “.womp” 확장자로 암호화하고, 그 악의적인 활동을 감추기 위해 가짜 Windows 업데이트 시작 화면을 표시했습니다.
데스크톱에는 복호화를 위해 0.007 비트코인(약 400달러)의 지불을 요구하는 몸값 요구서가 있었습니다. 그러나 분석 결과, 이 랜섬웨어에는 복호화 메커니즘이나 데이터 유출 능력이 없어, 이는 이익보다는 파괴를 위해 설계되었음을 시사했습니다.
중요한 것은, 이번 캠페인에서는 데이터 유출 능력이나 복호화 메커니즘은 전혀 없어, 일반적인 랜섬웨어보다 더 파괴적입니다. 랜섬웨어의 코딩에 고유 식별자가 없음으로써, 피해자들이 몸값을 지불하더라도 파일 복구가 보장되지 않습니다.
Proofpoint는 이 악의적인 활동을 특정 위협 요소에 귀속시키지 않았습니다. Prince 랜섬웨어의 오픈소스 적 특성으로 인해 다양한 주체들이 이를 자유롭게 수정하고 배포할 수 있습니다. 창조자인 SecDbg는 보안 조치를 우회하는 수정을 공개적으로 제공하며, 이는 귀속 노력을 더욱 복잡하게 만듭니다.
이 사건은 랜섬웨어 위협의 진화하는 풍경을 강조합니다. 이러한 공격은 일반적으로 이메일에서 직접 발생하지 않지만, 연락처 양식을 배달 방법으로 사용하는 것은 보다 넓은 추세를 반영합니다.
이것은 특히 우편 서비스들인 로열 메일, UPS, 페덱스가 악의적인 행위자들에 의해 정기적으로 가장되는 상황에서 더욱 우려스럽습니다. 고객들은 자주 공식적인 커뮤니케이션처럼 보이는, 하지만 사실은 사기인 전화, 문자 메시지, 이메일을 받게 됩니다. 이는 The Record에서 지적한 바입니다.
이 문제를 해결하기 위해, 로열 메일은 그들의 브랜드를 악용하는 일반적인 사기들에 대한 유용한 리스트를 제공합니다.
조직들은 직원들이 의심스러운 커뮤니케이션을 인식하고 이상 징후를 내부 보안 팀에 보고하도록 훈련시키는 것이 촉구됩니다. 사이버 위협이 점점 더 정교해지고 있음에 따라, 경계심과 교육이 잠재적인 위협을 방지하는 데 중요한 역할을 합니다.
댓글 달기
취소