보텍스, 깃허브에 호스팅되어 있는 암호화 유틸리티 사용
버그웨어, 오픈소스 랜섬웨어 코드인 히든티어 활용

[보안뉴스 문가용 기자] 닷넷(.NET)으로 개발된 랜섬웨어 패밀리 두 개가 새롭게 발견됐다. 게다가 이 두 가지 랜섬웨어는 피해자들의 파일을 암호화하기 위해 오픈소스 레파지토리를 활용하기도 했다고 한다. 이러한 사실들은 보안 업체인 지스케일러(Zscaler)가 발견했다.


먼저 두 가지 랜섬웨어의 이름은 각각 보텍스(Vortex)와 버그웨어(BUGWARE)다. 둘 다 악성 URL을 포함하고 있는 스팸 이메일을 통해 퍼지며, 마이크로소프트의 공통 중간 언어(Microsoft Intermediate Language, MSIL)로 컴파일링 되어 있다. 패킹에는 컨퓨저(Confuser)라는 패커가 사용됐다.

이 중 보텍스 랜섬웨어는 폴란드어로 작성되어 있으며, AES-256 사이퍼로 이미지, 동영상, 오디오, 문서 파일을 암호화한다. 일반 랜섬웨어들과 마찬가지로 암호화 과정을 끝낸 후 협박 편지를 통해 피해자가 어디로 돈을 얼마큼 입금해야 하는지 알려준다.

보텍스 공격자들은 피해자들에게 맛보기로 두 개의 파일을 무료로 복호화시켜준다. 그러고 나서 100달러의 돈을 최초로 요구하고, 4일 후에는 200달러로 금액을 올린다. 공격자들에게 연락을 취하려면 Hc9@2.pl 혹은 Hc9@goat.si라는 메일 주소로 이메일을 보내면 된다.

보텍스는 레지스트리 항목을 생성해 공격자가 지속적으로 피해자의 시스템에 머물러 있을 수 있게 한다. 마치 APT 공격과 비슷하다. 또한 AESxWin이라는 레지스트리 키도 만든다. 피해자가 파일을 복구할 수 없도록 섀도 복사본도 삭제한다.

AESxWin은 무료로 제공되는 암호화 및 복호화 유틸리티로, 깃허브에 호스팅되어 있다. 개발자는 이집트인으로 에슬람 하무다(Eslam Hamouda)라는 이름으로 알려져 있다. 이 말은 곧 암호화에 사용된 비밀번호만 알면 AESxWin을 통해 파일을 복구할 수 있다는 것이다.

다음은 버그웨어. 이 랜섬웨어는 히든티어(Hidden Tear)라는 오픈소스 코드로 만들어졌다. 피해자들에게 모네로로 1000 브라질 레알에 해당하는 금액을 내라고 요구한다. 피해자 시스템에서 Criptografia.pathstoencrypt라는 파일을 만들어 암호화 경로들의 목록을 만들고 저장한다.

버그웨어는 AES 256 비트 알고리즘을 사용해 파일을 암호화하고 파일의 이름을 바꾼다. AES 키 또한 암호화 과정에 포함되고, 이 때 사용되는 건 RSA 공개키다. 레지스트리를 저장하는 데에 있어서는 base64 암호화 키가 활용된다.

버그웨어 또한 보텍스와 마찬가지로 지속적으로 시스템에 남아있기 위해 런키(run key)를 만들어 사용자가 컴퓨터에 접속할 때마다 실행시키기도 한다. 사용자의 컴퓨터에서 휴대용 드라이브가 발견되면, 그 드라이브에도 버그웨어가 복사된다. 이 때 복사되는 파일의 이름은 fatura-vencida.pdf.scr이다.

버그웨어는 피해자 시스템의 배경화면을 바꾸는데, 이 때 사용되는 이미지 파일들은 “i.imagur.com/NpKQkKZ.jpg’에서부터 다운로드 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>