Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Go언어 기반으로 제작된 새로운 랜섬웨어 발견되다.
작성일 2021-06-10 조회 21

최근, 새로운 종류의 랜섬웨어가 모습을 드러내고 있다. 테스트 목적으로 제작됬거나, 몸값 지불 수단을 고려하지 않은 EpsilonRed 등 사이버 범죄자들은 새로운 방식을 통해 공격을 진행하고 있다. 이 중 BlackCocaine 랜섬웨어가 보안 연구원들에게 발견됬으며 분석결과 Go언어 기반으로 만들어진 것을 확인했다.

 

사이버 보안회사인 Cyble에 따르면 "BlackCocaine 랜섬웨어 운영자들이 최근, 사이트를 개설했으며 랜섬웨어는 5월 29에 컴파일됬다." 고 전했다. 사이트가 개설된 날짜는 하루 전날인 28일이며 이미 Nucleus Software가 BlackCocaine에 피해를 입은 것으로 보고있다.

 


[그림2. BlackCocaine 랜섬웨어 협상 사이트]

 


[그림1. BlackCocaine 랜섬웨어 도메인 주소 생성 날짜]

 

 

 

BlackCocaine 랜섬웨어는 현재 VirusTotal을 통해 샘플이 업로드됬다. 연구원들이 업로드된 샘플을 대상으로 분석을 진행했으며 파일 암호화 전 수행하는 행위에 대해 설명했다.

 

- RSA, AES 알고리즘을 사용해 암호화를 진행하며 암호화된 파일 끝에 .BlackCocaine 확장자 추가

- UPX로 패킹 된 64비트 프로그램으로 Go언어 기반으로 컴파일

- 안티디버깅 및 안티VM 방지 기술 구현

- 피해자의 네트워크를 통해 추가적인 액세스 권한 조사

 


[그림3. BlackCocaine 랜섬웨어 관련 문자열]

 

Go언어로 만들어진 랜섬웨어 및 악성코드는 이번이 처음이 아니다. 최근에 발견됬던 EpsilonRed 랜섬웨어, C++로 제작됬다가 Go언어로 포팅된 JSWorm 등 악성코드 제작자들 사이에서 인기가 높아지고 있는 상황이다. 이는 Anti-Virus의 탐지를 우회할 목적인 것으로 보고있다.

 

cyble은 "BlackCocaine의 초기 감염 벡터는 아직 확인되지 않고있다. 현재 지속적으로 해당 그룹을 모니터링 진행하고 있다. 또한, 피해의 확산을 막기 위해 PC의 다중 인증, Anti-Virus 설치 등을 통해 대응해야하며 의심스러운 메일은 열람하지 않는 것이 좋다. " 고 조언했다.

 

출처

 

https://cyware.com/news/blackcocaine-another-new-golang-ransomware-in-play-a69ca24b

 

https://cybleinc.com/2021/06/03/nucleus-software-becomes-victim-of-the-blackcocaine-ransomware/

 

첨부파일 첨부파일이 없습니다.
태그 Go언어  BlackCocaine