LockCrypt Ransomware Crew Started via Satan RaaS, Now Deploying Their Own Strain

올 6월부터, 한 사이버 범죄 그룹이 RDP 브루트포싱 공격을 통해 보호되지 않은 기업 서버들에 침투해 수동으로 LockCrypt 랜섬웨어를 설치하고 있는 것으로 나타났습니다.

보안 연구원들에 따르면, 이 공격자들은 미국, 영국, 남아프리카, 인도, 필리핀 등에 위치한 기업들을 공격했습니다.

LockCrypt 갱은 보통 하나의 서버로 침투해 가능한 많은 장비로 퍼지며, 각각의 시스템에서 수동으로 LockCrypt 랜섬웨어를 실행합니다.

LockCrypt에 감염 되면 아래와 같은 이미지 및 랜섬 노트가 표시 됩니다. 파일들은 암호화 되며 .lock 확장자가 붙습니다.

암호화 된 데이터를 복호화 하기 위해서, 피해자들은 0.5~1 비트코인을 지불해야합니다. 이는 $3,500~$7,000 상당입니다.

공격자들이 더 많은 컴퓨터들을 감염 시킨다면, 일부 기업들은 수 백만에서 수 천만 달러를 지불해야할 수 있습니다.

연구원들에 따르면, LockCrypt 랜섬웨어의 첫 번째 버전은 이전에 Satan RaaS(Ransomware-as-a-Service, 서비스형 랜섬웨어) 포털에서 생성 된 랜섬웨어와 관련이 있는 이메일 주소를 사용한 것으로 나타났습니다.

전문가들은 이 그룹이 초기에는 Satan 랜섬웨어를 이용했으며, 발생한 수익을 이용해 커스텀 버전을 개발해 LockCrypt 랜섬웨어를 만든 것으로 추측하고 있습니다.

LockCrypt는 강력한 암호화를 사용하고, 부팅 후에도 지속성을 가지며, 섀도우 볼륨 카피를 삭제하며 윈도우가 아닌 모든 코어 프로세스들을 죽이는 배치파일을 실행합니다. 이로써 암호화 프로세스에 영향을 줄 수 있는 안티 바이러스 프로그램들 및 기타 다른 프로세스들을 중단시킬 수 있습니다.

LockCrypt 갱은 이로 인해 꽤 짭짤한 수익을 올리고 있는 것으로 보입니다. 많은 비트코인 지갑들 중 랜섬 노트에서 발견한 3개에서는 이미 $175,000 상당의 비트코인을 벌어들인 것으로 나타났습니다.

https://www.bleepingcomputer.com/news/security/lockcrypt-ransomware-crew-started-via-satan-raas-now-deploying-their-own-strain/

https://www.alienvault.com/blogs/labs-research/lockcrypt-ransomware-spreading-via-rdp-brute-force-attacks