트렌드마이크로 연구팀이 아시아와 아프리카의 기업 및 정부 기관을 대상으로 한 ‘아젠다(Agenda)’라는 새로운 랜섬웨어를 발견했다.
아젠다는 Go 프로그래밍 언어로 작성됐으며, 아젠다라는 이름은 랜섬웨어 배포자와 연결된 Qilin이라는 사용자의 다크웹 게시물과 랜섬노트에서 따온 것으로 알려졌다.
아젠다는 주로 아시아와 아프리카의 기업 고객들을 표적으로 삼고 있다. 사건 조사에 따르면, 아젠다 랜섬웨어는 공개 Citrix 서버를 진입점으로 사용했으며 유효한 계정을 통해 피해자의 네트워크에 침입한다. 또한 안전 모드에서 시스템을 재부팅하고 많은 서버별 프로세스와 서비스를 중지하려고 시도하며 여러 모드에서 실행이 가능하다.
분석에 따르면, 랜섬웨어는 각 피해자에 맞게 설계됐다. 또한 수집된 랜섬웨어 샘플은 64비트 윈도우 PE(Portable Executable) 파일로 인도네시아, 사우디아라비아, 남아프리카공화국, 태국의 의료 및 교육 기관을 공격하는데 사용됐다.
트렌드마이크로 연구팀은 “조사 결과 샘플에 유출된 계정, 고객 비밀번호, 암호화된 파일의 확장자로 사용된 고유한 회사 ID가 있는 것으로 나타났다. 또한 랜섬웨어 운영자가 요청한 몸값은 5만 달러에서 80만 달러까지 기업마다 다르다”라고 설명했다.
연구팀은 아젠다가 기본 사용자의 비밀번호를 변경하고 탐지를 피하기 위해 새 로그인 자격 증명으로 자동 로그인을 활성화한다는 사실을 알아냈다. 아젠다는 피해자의 컴퓨터를 안전 모드에서 재부팅한 다음 재부팅 시 파일을 암호화한다. 이는 다른 랜섬웨어 조직인 REvil이 채택한 기술과 같다.
또한 유출된 계정을 사용해 RDP를 통해 Active Directory에 접근한 다음 검색 도구 Nmap.exe 및 Nping.exe를 사용해 네트워크를 검색했다.
연구팀은 "아젠다 랜섬웨어는 장치의 안전 모드 기능을 이용해 눈에 띄지 않게 암호화 루틴을 진행하여 탐지를 회피하는 기술을 가지고 있다. 또한 로컬 계정을 이용해 스푸핑된 사용자로 로그인했다. 이후 랜섬웨어 바이너리를 실행해 시도가 성공하면 다른 시스템을 추가로 암호화한다. 또한 수많은 프로세스와 서비스를 종료하고 DLL을 svchost.exe에 삽입해 공격의 지속성을 유지한다”라고 말했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
