보안 업체 사칭한 랜섬웨어, 이름마저 소포스인크립트...RaaS 사업 진행

요약 : 보안 외신 블리핑컴퓨터에 의하면 새로운 랜섬웨어 그룹이 유명 보안 업체 소포스(Sophos)를 사칭하는 전략을 구사하고 있다고 한다. 이 그룹은 이름마저 소포스인크립트(SophosEncrypt)이다. 보안 업체 멀웨어헌터팀(MalwareHunterTeam)이 발견했으며, 처음에는 멀웨어헌터팀조차 소포스의 레드팀 훈련이 진행되고 있는 것으로 착각했었다고 한다. 소포스인크립트에 대해서 아직 알려진 내용은 많이 없지만 멀웨어헌터팀은 이들이 구독형 랜섬웨어(RaaS) 서비스 형태로 운영되고 있다는 것을 알아냈고, 이들이 사용하는 랜섬웨어의 샘플을 하나 확보하는 것에는 성공했다.


배경 : 소포스인크립트 랜섬웨어는 러스트로 작성됐으며, 사용자의 선택에 따라 파일 하나만 암호화할 수도 있고 디스크 전체를 암호화할 수도 있다고 한다. AES256-CBC 알고리즘을 사용해 암호화를 진행하며, 암호화된 파일 끝에 .sophos라는 확장자를 첨부한다. 공격 후에는 피해자의 바탕화면을 바꿔 보안 업체 소포스의 로고를 띄운다.

말말말 : “저희는 레드팀 훈련을 위해 인크립터를 활용한 적이 최근에 없습니다. 최근 제보를 받고 조사에 착수했고, 현재도 이 상황을 주시하고 있습니다.” -소포스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>