AntiHacker Ransomware

최신 악성코드 위협으로부터 개인 및 비즈니스 데이터를 보호하는 것은 더 이상 선택 사항이 아니라 운영상의 필수 사항입니다. 랜섬웨어 운영자들은 교란을 극대화하고 금품을 갈취하기 위해 전략, 도구, 그리고 사회 공학적 수법을 끊임없이 개선하고 있습니다. 소규모 조직과 개인 사용자조차도 정기적으로 공격을 받고 있으며, 사전 준비 없이는 복구가 어렵거나 불가능할 수 있습니다. Xorist 계열에 속하는 AntiHacker Ransomware는 바로 그러한 위협입니다.

위협 개요 및 계통

AntiHacker는 정보 보안 연구원들이 발견한 악성 프로그램으로, Xorist 랜섬웨어 계열에 속합니다. Xorist 기반 위협은 일반적으로 공격자가 표시되는 랜섬 메시지, 파일 확장자, 언어 요소 및 기타 매개변수를 변경하여 사용자 정의할 수 있는 키트 프레임워크를 기반으로 합니다. AntiHacker는 익숙한 Xorist의 플레이북을 따릅니다. 즉, 피해자 데이터를 암호화한 후 위장된 복호화 키를 제공하는 대가로 돈을 요구합니다.

파일 암호화 동작 및 표시

AntiHacker는 시스템을 침해하면 로컬 드라이브와 매핑된 네트워크 위치에서 사용자가 접근 가능한 데이터를 검색합니다. 문서, 이미지, 아카이브, 멀티미디어 파일 및 기타 중요한 데이터 저장소 등 다양한 파일 형식을 대상으로 합니다. 암호화된 각 항목의 이름은 원래 파일 이름 끝에 '.antihacker2017' 문자열을 추가하여 변경됩니다. 예를 들어, 원래 이름이 '1.png'였던 파일은 '1.png.antihacker2017'로, '2.pdf'였던 파일은 '2.pdf.antihacker2017'로 변경됩니다. 이러한 패턴은 처리된 모든 파일에서 반복됩니다. 추가된 확장자는 두 가지 목적을 갖습니다. 피해자에게 침해 사실을 시각적으로 알리고, 랜섬웨어가 이미 처리한 항목을 식별하는 데 도움을 줍니다.

몸값 요구 메시지, 팝업 및 배경화면 메시지

암호화 루틴을 완료한 후, AntiHacker는 피해자의 바탕 화면을 수정하고 팝업 창과 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt'(러시아어로 '파일 복호화 방법')라는 텍스트 파일, 이렇게 두 가지 형식으로 랜섬웨어 메시지를 유포합니다. 팝업 창과 텍스트 파일에 표시되는 메시지 내용은 동일합니다. 그러나 바탕 화면 변형에는 사용자가 특정 성인용 또는 불법 웹사이트를 방문했기 때문에 공격이 발생했다고 주장하는 사회 공학적 언어가 추가로 포함되어 있습니다. 이러한 랜섬웨어는 피해자에게 빠르고 조용히 돈을 지불하도록 압박하기 위해 고안되었습니다.

문자 인코딩의 특이점

키릴 문자 집합을 사용하지 않는 시스템에서는 팝업에 표시되는 랜섬웨어 메시지가 읽을 수 없는 횡설수설로 표시될 수 있습니다. 따라서 피해자는 손상된 메시지 창을 보더라도, 삭제된 텍스트 파일 내에서 읽을 수 있는 지시 사항을 찾을 수 있습니다. 공격자는 종종 현지화 정보를 간과하지만, 방어자는 이러한 아티팩트를 활용하여 관련 사건을 클러스터링하는 데 도움을 줄 수 있습니다.

강압 메커니즘: 주요 진입 제한 및 위협 주장

랜섬웨어 지침에는 피해자가 공격자에게 연락하여 복호화 키를 받아야 한다고 명시되어 있습니다. 또한, 키 입력 시도 횟수가 50회로 제한되어 있으며, 50회를 초과하면 암호화된 데이터가 영구적으로 손실된다는 내용의 메시지가 표시됩니다. 또한 보안 도구를 사용하거나, 재부팅하거나, 기기를 종료하면 파일을 복호화할 수 없게 된다는 경고도 포함되어 있습니다. 이러한 협박 전술은 랜섬웨어 공격에서 흔히 볼 수 있으며, 사용자가 전문가의 도움을 받거나 안전한 복구 절차를 시도하지 못하도록 하는 것을 목표로 합니다.

몸값을 지불하는 것이 위험한 이유

AntiHacker(또는 다른 랜섬웨어)를 사용하는 사이버 범죄자들이 결제 후 제대로 작동하는 복호화 솔루션을 제공할 것이라는 보장은 없습니다. 결제한 피해자는 종종 아무것도 받지 못하거나, 손상된 키를 받거나, 반복적인 갈취의 표적이 됩니다. 또한, 결제는 지속적인 범죄 활동에 자금을 지원하고 추가 공격을 부추깁니다. 현명한 대처 방법은 가능한 한 결제를 피하고, 자신이 통제할 수 있는 복구 경로에 집중하는 것입니다.

회복의 현실

감염된 시스템에서 AntiHacker를 제거하면 파일 암호화를 더 이상 중단할 수 있지만, 이미 잠긴 데이터는 해독할 수 없습니다. 가장 확실한 복구 방법은 격리되었거나, 오프라인 상태이거나, 기타 맬웨어의 손이 닿지 않는 곳에 있는 백업에서 감염된 파일의 깨끗한 복사본을 복원하는 것입니다. 실행 가능한 백업이 없으면 데이터 복구 옵션이 매우 제한됩니다.

1차 감염 매개체

랜섬웨어 제작자는 다른 악성코드 유형을 촉진하는 것과 동일한 광범위한 배포 생태계에 의존합니다. AntiHacker도 예외는 아닙니다. 공격자는 페이로드를 합법적인 소프트웨어로 위장하거나 크랙되거나 불법 복제된 프로그램, 문서 또는 설치 프로그램과 함께 배포하는 경우가 많습니다. 함정이 설치된 파일을 여는 것만으로도 다운로드 또는 실행 체인이 활성화될 수 있습니다.

• 이메일, 개인 메시지 또는 악성 첨부 파일이나 내장된 링크가 포함된 직접 메시지를 통해 전달되는 피싱 및 소셜 엔지니어링 미끼입니다.
• 사용자의 명확한 동의 없이 침해되거나 악성 웹사이트에서 시작된 무단 다운로드 또는 사기성 다운로드.
• 트로이 목마 로더와 백도어는 내장된 후 랜섬웨어를 조용히 검색하여 실행합니다.
• 프리웨어 사이트, 타사 호스팅 페이지, P2P(Peer-to-Peer) 파일 공유 네트워크 등 신뢰할 수 없는 다운로드 소스입니다.
• 사용자를 익스플로잇 키트나 악성 페이로드로 리디렉션하는 온라인 사기 및 악성 광고 캠페인입니다.
• 불법 소프트웨어 활성화 도구('크랙'/키젠)와 합법적인 패치 대신 맬웨어를 설치하는 가짜 소프트웨어 업데이트.
• 보관 파일(ZIP, RAR 등), 실행 파일(EXE, RUN 등), 스크립트 파일(예: JavaScript) 및 문서 형식(PDF, Microsoft Office, OneNote 등)이 무기화되어 감염 사슬을 시작합니다.

방어 전략 개요

효과적인 랜섬웨어 방어는 사람, 프로세스, 그리고 기술을 아우릅니다. 단일 보호 제어에만 의존할 수는 없습니다. 적어도 하나의 계층이 실패할 것이라고 가정해야 합니다. 사용자 인식, 강화된 구성, 엄격한 패치 적용, 탄탄한 백업 관행, 그리고 강력한 탐지/대응 역량을 결합하여 해커 방지(AntiHacker) 방식의 침입 가능성과 그 영향을 모두 줄이십시오.

• 중요한 데이터의 백업을 유지하세요.
• 운영 체제, 애플리케이션, 보안 도구를 항상 최신 상태로 유지하고, 특히 원격 접속 및 파일 공유 서비스의 경우 패치를 신속하게 적용하세요.
• 지원되는 경우 행동 랜섬웨어 감지 및 자동 롤백 기능을 갖춘 평판 좋은 안티 맬웨어/엔드포인트 감지 및 대응(EDR) 솔루션을 사용하세요.
• 최소 권한 사용자 권한을 적용하고, 관리자가 아닌 계정으로 일상 업무를 수행하고, 공유 데이터 저장소에 대한 쓰기 액세스를 제한합니다.
• 네트워크를 분할하고 측면 이동을 제한합니다. 백업 저장소와 중요 서버를 별도의 액세스 계층에 격리합니다.
• 원격 로그인, 권한 있는 작업 및 백업 관리 콘솔에 대해 다중 요소 인증(MFA)을 요구합니다.

결론

AntiHacker 랜섬웨어는 위협 행위자들이 Xorist와 같은 키트 기반 랜섬웨어를 어떻게 이용하여 강력하고 지역적으로 표적화된 금품 갈취 계획을 수립하는지 보여줍니다. 데이터 암호화, 파일 이름 태그, 다국어 랜섬웨어 메시지, 그리고 강압적인 메시지는 모두 금전 지불을 유도하도록 설계되었습니다. 그러나 가장 강력한 대응책은 바로 철저한 대비입니다. 즉, 격리된 백업, 다층적인 방어 체계, 정보에 입각한 사용자, 그리고 체계적인 대응 계획이 필요합니다. 이러한 안전 장치에 투자하는 조직과 개인은 잠재적으로 치명적인 랜섬웨어 사건을 복구 가능한 사건으로 전환할 수 있습니다.