미 연방수사국(FBI)은 지난 10월 25일 랜지로커(RanzyLocker) 랜섬웨어에 관한 보안 경고를 발표했다. 다른 랜섬웨어 조직에 비해 왕성하게 활동하지 않지만 ​꾸준한 활동으로 계속 피해를 입혀 온 랜지로커(RanzyLocker)가 사실은 아코(AKO)와 썬더엑스(ThunderX) 랜섬웨어와 동일한 그룹으로 추정되고 있다.

이번 글에서는 랜지로커(RanzyLocker) 랜섬웨어가 아코(AKO)와 썬더엑스(ThunderX) 랜섬웨어와 같은 위협 그룹으로 추정되는 이유에 대해 자세히 살펴본다. 

‘랜지로커 랜섬웨어’의 탄생 일화

랜지로커(RanzyLocker) 랜섬웨어는 2020년 말에 처음 확인되었으며 2021년 7월까지 건설, 제조, 학계, 정보 기술, 운송 등 다양한 산업의 미국 기업 30개곳 이상을 공격했다. 이들은 랜섬웨어 공격 외에도 피해자 네트워크에 침입해 고객 정보, 개인 식별 가능 정보, 전자금융거래 기록 등 민감한 정보를 탈취하여 랜섬을 요구하는 것으로 잘 알려져 있다.

블리핑 컴퓨터(Bleeping Computer) 기사에 따르면 랜지로커(RanzyLocker)의 정보 유출 사이트는 과거 아코(Ako)와 썬더엑스(ThunderX) 랜섬웨어에서도 사용되었다고 한다. 사용된 랜섬웨어가 유사하고 데이터 유출 사이트가 동일하다는 것을 보았을 때 세 개의 랜섬웨어가 모두 같은 위협 그룹인 것을 추정할 수 있다.

랜지로커(RanzyLocker) 랜섬웨어가 등장하게 된 배경은 무엇이었을까? [표 1]은 썬더엑스(ThunderX)와 랜지로커(RanzyLocker)의 주요 타임라인을 보여준다.

[표 1] 랜지로커(RanzyLocker) 랜섬웨어 주요 타임라인

센티넬원(SentinelOne)사에 따르면 썬더엑스(ThunderX) 랜섬웨어의 암호화 방식에 문제가 있었다. 이를 이용한 무료 복구 프로그램이 2020년 9월 중순 노모어랜섬(NoMoreRansom) 사이트에 공개되자, 공격자들은 취약한 암호화 방법을 개선하여 랜지로커(RanzyLocker) 랜섬웨어라는 새롭게 리브랜딩 된 랜섬웨어를 선보인 것으로 추정된다.

안랩은 랜지로커(RanzyLocker) 랜섬웨어의 이전 버전인 썬더엑스(ThunderX)를 2020년 9월 6일 처음 확인했으며, 랜지로커(RanzyLocker) 랜섬웨어는 2020년 9월 30일에 처음으로 확인했다.

미 연방수사국(FBI)에 따르면 랜지로커(RanzyLocker) 랜섬웨어 그룹의 공격 방식은 크게 다음과 같이 3가지 경우로 나눌 수 있다.

(1) RDP(원격 데스크톱)에 대한 무차별 대입 공격(Brute Force Attack)

(2) 마이크로소프트 익스체인지 서버(Exchange Server) 취약점 익스플로잇

(3) 피싱으로 훔친 자격 증명 악용한 공격

랜지로커(RanzyLocker), 썬더엑스(ThunderX)의 후예인가?

랜지로커(RanzyLocker) 랜섬웨어는 썬더엑스(ThunderX) 랜섬웨어로도 불리며 파일은 약 140 – 150KB이다. 앞서 설명한 것과 같이 썬더엑스(ThunderX) 랜섬웨어의 무료 복구 프로그램이 등장하면서 암호화 방식을 개선한 랜지로커(RanzyLocker)가 등장하게 된 것이다. 

안랩은 랜지로커(RanzyLocker)와 썬더엑스(ThunderX) 랜섬웨어의 연관성을 입증할 구체적인 증거는 찾아 나섰고, 그 결과 그 둘의 관계를 뒷받침할만한 특징적인 증거를 제시할 수 있었다.

증거 #1. PDB 경로

썬더엑스(ThunderX)와 랜지로커(RanzyLocker) 랜섬웨어 변형에는 특징적인 PDB 경로를 포함하고 있다. 

[그림 1] 랜섬웨어 내 특징적인 PDB 경로

썬더엑스(ThunderX) 랜섬웨어와 랜지로커(RanzyLocker) 랜섬웨어의 PDB 경로가 동일하므로 동일 제작자가 기능을 개선해 랜지로커(RanzyLocker)라는 새로운 브랜드로 새 출발을 했다고 추측할 수 있다. 

증거 #2. 문자열(String)

악성코드에서 사용하는 주요 문자열은 해당 문자열의 헥스(Hex) 값을 문자열로 변환했다.  

[그림 2] 특징적인 문자열

[그림 2]에 나오는 ‘726561646d652e747874’ 문자열은 readme.txt의 헥스(Hex) 값에 대한 문자열이다. 썬더엑스(ThunderX) 랜섬웨어와 랜지로커(RanzyLocker) 랜섬웨어 모두 동일한 방식의 문자열을 포함하고 있다.

증거 #3. 랜섬노트

썬더엑스(ThunderX) 랜섬웨어(md5: fedadfa6ce199900ca0a6a1f588f8beb)의 랜섬노트는 [그림 3]과 같다.  

[그림 3] 썬더엑스(ThunderX) 랜섬웨어 랜섬 노트

랜섬 노트는 공격자 메일을 포함하고 있어 해당 방법으로 문의를 하도록 유도하고 있다.

2020년 9월 30일 제작된 것으로 보이는 랜지로커(md5: 17c8e5a7a217cde94db2c13c912b18f8) 초기 버전의 랜섬노트는 [그림 4]와 같다. 썬더엑스(ThunderX) 랜섬웨어의 랜섬 노트와 동일하게 공격자 메일로 연락하게끔 유도하고 있다.

[그림 4] 랜지로커(RanzyLocker) 초기 버전의 랜섬 노트

그러나, 이들은 얼마 안 있어 랜섬 노트를 한차례 수정했다. 2020년 10월 21일 발견된 랜지로커(RanzyLocker) 1.1 버전(md5: fb1cb205656a373e1f5e25840fe23c4d)의 랜섬 노트는 [그림 5]와 같이 공격자 메일로 연락을 유도하는 대신 웹 사이트 접속을 요구한다.

[그림 5] 랜지로커(RanzyLocker) 랜섬웨어 랜섬 노트

랜섬 노트에 포함되어 있는 사이트 주소는 다음과 같다.

[그림 6] 랜섬 노트에 포함된 웹사이트 주소

이때 시스템에서 암호화된 파일은 모두 ranzy 확장자를 가진다.

안랩은 다음의 진단명과 엔진 정보를 이용해 해당 악성코드를 탐지 및 차단하고 있다.

■ Trojan/Win32.Ransomlock (2020.10.22.00)

■​ Trojan/Win32.Ransomlock (2020.10.22.00)

■​ Malware/Win32.Generic (2020.12.18.01)

■​ Trojan/Win32.FileCoder (2020.09.10.06)

결론

2020년 가을에 처음 등장한 랜지로커(RanzyLocker) 랜섬웨어는 아코(Ako) 그리고 썬더엑스(ThunderX) 랜섬웨어와 동일한 그룹으로 추정되고 있다.

랜지로커(RanzyLocker) 랜섬웨어는 주로 미국 기업을 타깃으로 공격 활동을 펼치고 있으며 아직 다른 나라에서 보고된 감염 사례는 없는 것으로 알려졌지만, 계속해서 변종이 등장하고 있는 관계로 미 연방수사국(FBI)은 기업 사용자들의 주의를 당부하고 있다.