러시아 해커 샌드웜이 랜섬보그스(RansomBoggs) 랜섬웨어로 우크라이나를 공격하고 있다.
랜섬보그스 공격은 11월 21일 보안 기업 에셋이 처음 발견했다. 에셋에 따르면, 랜섬보그스는 .NET으로 작성됐으며, 배후에는 러시아와 연계된 샌드웜이라는 해커가 있는 것으로 알려졌다.
샌드웜은 2022년 4월 Industroyer ICS 악성코드(INDUSTROYER2)와 CaddyWiper 와이퍼로 우크라이나의 에너지 시설을 공격했으며, 9월에는 통신 기업을 사칭해 멀웨어로 우크라이나 기업을 공격하기도 했다.
에셋이 랜섬보그스를 분석한 결과, 랜섬보그스는 픽사의 영화 ‘몬스터 주식회사’를 모방했다.
랜섬보그스의 랜섬 노트에는 Sullivan.<version?>.exe라는 이름이 있는데, 이는 영화 몬스터 주식회사의 주인공인 제임스 P 설리반의 이름을 따라한 것이다.
샌드웜은 랜섬보그스를 유포하는데 파워쉘(PowerShell) 스크립트를 사용했다. 에셋은 이번 공격이 지난 4월에 탐지된 에너지 시설 대상 공격과 유사하다는 점을 통해 이를 알아냈다.
랜섬보그스는 CBC 모드에서 AES-256을 사용해 파일을 암호화하고, 파일에 .chsch 확장자를 추가한다. 그렇게 키가 RSA 암호화되면 aes.bin에 기록하는 것으로 알려진다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
