멀웨어 탐지 기술 회피하려는 랜섬웨어 운영자들...랜섬웨어 자체를 암호화

요약 : IT 외신 블리핑컴퓨터에 의하면 캑터스(Cactus)라는 랜섬웨어가 대기업들에 침투하기 위해 포티넷(Fortinet)의 VPN 장비와 솔루션들의 취약점을 익스플로잇 하기 시작했다고 한다. 이러한 공격 캠페인은 최소 지난 3월부터 시작된 것으로 보이며, 대기업들로부터 상당한 금액의 돈을 요구하는 중이다. 특이한 건 캑터스가 자기 스스로를 암호화 한다는 것이다. 랜섬웨어 페이로드 자체를 암호화 함으로써 탐지 기능들을 회피할 수 있게 된다고 보안 업체 크롤(Kroll)은 분석했다.


배경 : 캑터스는 일반 랜섬웨어와 마찬가지로 피해자들의 정보를 빼돌려 이중으로 협박하기도 한다. 하지만 다른 랜섬웨어 그룹들과는 달리 이를 공개하기 위한 사이트를 운영하고 있지는 않은 것으로 보인다. 그래도 랜섬웨어 그룹들이 피해자들의 정보를 노출하는 채널은 여러 가지이므로 협박은 유효하다.

말말말 : “자기 자신을 암호화 한다는 전략은 매우 독특합니다. 아직까지 이 랜섬웨어 그룹에 대해 알아야 할 것이 많아 보입니다.” -크롤-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>