220420_유명조달기업
윈도우, 리눅스 공격하는 변종 랜섬웨어 ‘루나’ 발견 
상태바
윈도우, 리눅스 공격하는 변종 랜섬웨어 ‘루나’ 발견 
  • 곽중희 기자
  • 승인 2022.07.21 15:43
  • 댓글 0
이 기사를 공유합니다

한 플랫폼에 구애 받지 않고 여러 플랫폼으로 전이돼

 

보안 기업 카스퍼스키(Kaspersky) 연구원이 윈도우와 리눅스, ESXi(VM웨어의 하이퍼바이저)를 공격하는 루나(Luna)라는 새로운 랜섬웨어를 발견했다.

연구원에 따르면, 루나 랜섬웨어는 Rust 언어로 작성된 세 번째 랜섬웨어 제품군이며, 다른 멀웨어 변종으로는 BlackCat, Hive 등이 있다.

 

루나 랜섬웨어

루나 랜섬웨어는 지난 6월에 있었던 다크넷 랜섬웨어 포럼을 모니터링한 Kaspersky Darknet Threat Intelligence 시스템에 의해 처음 발견됐다.

adv에 따르면, 루나 랜섬웨어는 러시아어를 사용하는 계열사에서만 작동하는 것으로 알려진다. 랜섬웨어 바이너리에 하드코딩된 랜섬 노트에 철자 오류가 있다는 사실은 루나 랜섬웨어의 배후가 러시아인임을 암시한다. 

전문가에 따르면, 루나 랜섬웨어는 x25519와 AES를 결합한 형태의 암호화 체계를 사용한다. 연구원들은 루나 랜섬웨어가 리눅스 및 ESXi 샘플에서는 동일한 소스코드를 사용했지만 윈도우에서는 조금 다른 소스코드를 사용했음을 확인했다.

카스퍼스키 연구원은 “루나 랜섬웨어의 특성을 확인했다. 현재 랜섬웨어 조직은 Golang 및 Rust와 같은 언어에 크게 의존하고 있다. 주목할만한 사항으로는 BlackCat과 Hive가 있다. 이 둘은 플랫폼에 구애 받지 않는 언어이기 때문에 이들 언어로 작성된 랜섬웨어는 한 플랫폼에서 다른 플랫폼으로 쉽게 전이된다. 그래서 여러 운영 체제를 대상으로 한 번에 공격이 이뤄지는 것이다. 또한 이런 랜섬웨어들은 정적 분석을 피해갈 수 있다는 특성도 가지고 있다”라고 설명했다. 

이어 루나 랜섬웨어에 대한 대응 방안에 대해서는 “안전 모드 재부팅 기능 등이 방법이 있지만, 매번 그렇게 하기에는 번거롭다. 또한 일부 엔드포인트 솔루션은 안전 모드에서 실행되지 않는다. 랜섬웨어가 감지되지 않고 파일이 쉽게 암호화될 수 있다"라고 말했다. 

아울러 "최근 많은 랜섬웨어들이 ESXi를 표적으로 삼고 있다. 루나와 black basta 등 새로운 랜섬웨어도 그렇다. 이들은 항상 최대한 많은 피해를 입히는 것을 목표로 한다. 따라서 이들은 VM 암호화에 대한 침투 방안도 고려하고 있을 것으로 예상된다”라고 덧붙였다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.