최근 랜섬웨어 공격의 정교함이 높아짐에 따라 사용자와 조직이 악성코드로부터 기기를 보호하는 것이 얼마나 중요한지 더욱 분명해지고 있습니다. 단 한 번의 공격이라도 성공하면 운영 중단, 금전적 손실, 기업 이미지 손상, 그리고 중요한 정보 유출로 이어질 수 있습니다. 연구원들이 현재 분석 중인 특히 위험한 랜섬웨어 중 하나는 Ndm448 랜섬웨어로, 파일 암호화와 데이터 유출, 그리고 금전적 갈취를 결합한 매우 파괴적인 위협입니다.
Ndm448 랜섬웨어: 고도화된 갈취 수법을 사용하는 Makop 계열 변종
Ndm448 랜섬웨어는 잘 알려진 Makop 랜섬웨어 계열의 변종으로 확인되었습니다. 다른 Makop 기반 위협과 마찬가지로 Ndm448은 감염된 시스템에 침투하여 중요한 데이터를 암호화하고, 복구를 위해 몸값을 요구하며 피해자를 압박하도록 설계되었습니다.
실행되면 악성코드는 일련의 일련의 작업을 순차적으로 수행합니다. 시스템 전체의 파일을 암호화하고, 파일 이름을 변경하며, '+README-WARNING+.txt'라는 이름의 랜섬웨어 메시지를 생성하고, 바탕 화면 배경을 변경하여 피해자가 공격 사실을 즉시 알 수 있도록 합니다. 암호화 과정으로 인해 공격자가 보유한 복호화 키 없이는 파일에 접근할 수 없게 됩니다.
파일 이름 변경 패턴과 암호화 동작
Ndm448의 특징 중 하나는 독특한 파일 이름 변경 규칙입니다. 파일을 암호화한 후 각 파일 이름에 세 가지 요소를 추가합니다.
- 피해자의 고유 ID
- 공격자가 제어하는 이메일 주소
- .ndm448 확장자
예를 들어, 원래 '1.png'라는 이름의 파일은 '1.png.[2AF20FA3].[thomasandersen70@onionmail.org].ndm448'로 이름이 변경되고, '2.pdf'는 '2.pdf.[2AF20FA3].[thomasandersen70@onionmail.org].ndm448'로 이름이 변경됩니다.
이러한 구조화된 이름 변경 시스템을 통해 공격자는 암호화된 데이터를 명확하게 표시하는 동시에 피해자를 개별적으로 식별할 수 있습니다. 또한 전용 확장자를 추가함으로써 표준 애플리케이션이 해당 파일을 인식하거나 열 수 없도록 합니다.
몸값 요구 편지와 이중 갈취 전략
몸값 요구 메시지에는 자세한 지침이 포함되어 있으며 심리적 압박감을 고조시킵니다. 피해자는 파일이 암호화되었고 민감한 데이터가 도난당했다는 통보를 받습니다. 공격자는 피해자가 협조하지 않을 경우 도난당한 정보를 삭제하거나, 판매하거나, 공개하겠다고 주장합니다.
연락은 이메일 주소 thomasandersen70@onionmail.org 또는 qTox 메신저를 통해 이루어집니다. 해당 메시지는 접근 권한을 복구하는 유일한 방법은 전용 복호화 도구를 구매하는 것이라고 강조합니다. 피해자들은 시스템 재시작, 암호화된 파일 수정 또는 타사 복구 솔루션 사용을 절대 하지 말라고 경고하며, 이러한 행위는 데이터를 영구적으로 손상시킬 수 있다고 주장합니다.
엄격한 기한이 정해져 있습니다. 며칠 내에 합의가 이루어지지 않으면 공격자들은 복호화 키를 파기하고 탈취한 정보를 유출하겠다고 위협합니다. 몸값 지불은 데이터 복구 및 삭제를 보장하는 것으로 제시되지만, 공격자들이 이를 이행할 것이라는 보장은 없습니다. 많은 랜섬웨어 운영자들은 몸값을 받은 후에도 제대로 작동하는 복호화 도구를 제공하지 않습니다.
감염 매개체 및 확산 방법
Ndm448은 사용자의 실수와 시스템 취약점을 악용하도록 설계된 다양한 유포 방식을 통해 확산됩니다. 사용자가 정상적인 파일로 위장한 악성 콘텐츠를 모르고 실행할 때 시스템에 침투하는 경우가 많습니다. 이러한 악성 콘텐츠에는 감염된 실행 파일, 스크립트, 압축 파일 또는 Word, Excel, PDF 파일과 같은 문서가 포함될 수 있습니다.
일반적인 유통 채널은 다음과 같습니다.
- 악성 첨부 파일이나 링크가 포함된 사기성 이메일 캠페인
- 불법 복제 소프트웨어, 키 생성기 및 크랙 도구
- 소프트웨어 취약점 및 구형 애플리케이션 악용
- 손상된 USB 드라이브 및 P2P 네트워크
- 가짜 기술 지원 사기 및 기만적인 광고
- 해킹당했거나 위조된 웹사이트에서 트로이목마가 포함된 다운로드 파일을 배포합니다.
이처럼 다양한 침투 경로로 인해 Ndm448과 같은 랜섬웨어는 적응력이 매우 뛰어나며, 일단 환경에서 활성화되면 차단하기가 어렵습니다.
지불 및 지속적인 감염의 위험
랜섬웨어 공격은 즉각적인 운영 마비를 초래합니다. 손상되지 않은 백업이 없다면 복구 옵션이 극히 제한적입니다. 하지만 몸값을 지불하는 것은 강력히 권장되지 않습니다. 공격자는 제대로 작동하는 복호화 도구를 제공하지 않거나, 추가 금액을 요구하거나, 탈취한 데이터를 유출할 수도 있습니다.
랜섬웨어를 즉시 제거하는 것이 필수적입니다. 랜섬웨어가 활성화된 상태로 남아 있으면 새로 생성되는 파일을 계속 암호화하고 로컬 네트워크를 통해 확산되어 피해 규모를 확대할 수 있습니다.
국방력 강화: 필수적인 안보 모범 사례
Ndm448과 같은 위협을 완화하려면 체계적이고 다층적인 보안 전략이 필요합니다. 사용자와 조직은 다음과 같은 핵심 사항을 실행하여 노출 위험을 크게 줄여야 합니다.
- 주 시스템과 격리된 환경에서 정기적인 오프라인 또는 클라우드 기반 백업을 유지하십시오.
- 알려진 취약점을 패치하기 위해 운영 체제와 소프트웨어를 항상 최신 상태로 유지하십시오.
- 신뢰할 수 있고 실시간 랜섬웨어 탐지 기능을 갖춘 보안 솔루션을 사용하십시오.
- 불법 복제 소프트웨어나 비공식 활성화 도구를 다운로드하지 마십시오.
- 이메일 첨부 파일, 링크 및 스팸 메일에 주의하십시오.
- 관리자 권한을 제한하고 최소 권한 원칙을 적용하십시오.
- 꼭 필요한 경우가 아니면 문서에서 매크로 사용을 비활성화하십시오.
- 침해 발생 시 측면 이동을 제한하기 위해 네트워크를 분할합니다.
이러한 조치 외에도 지속적인 사이버 보안 인식 교육은 인적 공격 경로를 줄이는 데 중요한 역할을 합니다. 직원과 개별 사용자 모두 피싱 시도, 의심스러운 다운로드 및 소셜 엔지니어링 전술을 식별하는 방법에 대한 교육을 받아야 합니다.
결론
Ndm448 랜섬웨어는 데이터를 암호화하는 동시에 탈취한 정보를 이용해 추가적인 압박을 가하는 이중 협박 공격으로 진화한 현대 랜섬웨어의 대표적인 사례입니다. Makop 계열에 속하는 이 랜섬웨어는 강력한 암호화 기술과 공격적인 심리적 전술을 결합하여 금전적 지불을 강요합니다.
강력한 예방적 보안 조치, 꾸준한 백업, 그리고 선제적인 위협 탐지는 여전히 가장 효과적인 방어 수단입니다. 랜섬웨어 공격이 규모와 정교함 면에서 계속해서 증가하는 환경에서, 철저한 대비와 경계는 막대한 데이터 손실과 재정적 피해를 막는 데 필수적인 안전장치입니다.
System Messages
The following system messages may be associated with Ndm448 랜섬웨어:
Dear Management,
If you are reading this message, it means that:
- your network infrastructure has been compromised,
- critical data was leaked,
- files are encrypted
----------------------------------------------------
The best and only thing you can do is to contact us
to settle the matter before any losses occurs.
Mail : thomasandersen70@onionmail.org
If you do not receive a response within 12 hours, your letter may not have arrived, in this case we provide an alternative contact
Chat qtox : hxxps://qtox.github.io/
Our chat ID : 40E320AC41C066E58264ABF8A6B47A93F69DE2BE30FF94AE701EE15ED856FF5BB76A6B2068A4
----------------------------------------------------
1. THE FOLLOWING IS STRICTLY FORBIDDEN
1.1 EDITING FILES ON HDD.
Renaming, copying or moving any files
could DAMAGE the cipher and
decryption will be impossible.
1.2 USING THIRD-PARTY SOFTWARE.
Trying to recover with any software
can also break the cipher and
file recovery will become a problem.
1.3 SHUTDOWN OR RESTART THE PC.
Boot and recovery errors can also damage the cipher.
Sorry about that, but doing so is entirely at your own risk.
----------------------------------------------------
2. EXPLANATION OF THE SITUATION
2.1 HOW DID THIS HAPPEN
The security of your IT perimeter has been compromised (it's not perfect at all).
We encrypted your workstations and servers to make the fact of the intrusion visible and to prevent you from hiding critical data leaks.
We spent a lot of time researching and finding out the most important directories of your business, your weak points.
We have already downloaded a huge amount of critical data and analyzed it. Now its fate is up to you, it will either be deleted or sold, or shared with the media.
2.2 VALUABLE DATA WE USUALLY STEAL:
- Databases, legal documents, personal information.
- Audit reports.
- Audit SQL database
- Any financial documents (Statements, invoices, accounting, transfers etc.).
- Work files and corporate correspondence.
- Any backups.
- Confidential documents.
2.3 TO DO LIST (best practies)
- Contact us as soon as possible.
- Contact us only in our live chat, otherwise you can run into scammers.
- Purchase our decryption tool and decrypt your files. There is no other way to do this.
- Realize that dealing with us is the shortest way to success and secrecy.
- Give up the idea of using decryption help programs, otherwise you will destroy the system permanently.
- Avoid any third-party negotiators and recovery groups. They can become the source of leaks.
----------------------------------------------------
3. POSSIBLE DECISIONS
3.1 NOT MAKING THE DEAL
- After 4 days starting tomorrow your leaked data will be Disclosed or sold.
- We will also send the data to all interested supervisory organizations and the media.
- Decryption key will be deleted permanently and recovery will be impossible.
- Losses from the situation can be measured based on your annual budget.
3.2 MAKING THE WIN-WIN DEAL
- You will get the only working Decryption Tool and the how-to-use Manual.
- You will get our guarantees (with log provided) of non-recovarable deletion of all your leaked data.
- You will get our guarantees of secrecy and removal of all traces related to the deal in the Internet.
- You will get our security report on how to fix your security breaches.
----------------------------------------------------
4. Your Information and Keys
4.1 All leaked Data samples will be Disclosed in 7 Days if you remain silent.
4.2 Your Decryption keys will be permanently destroyed at the moment the leaked Data is Disclosed.
----------------------------------------------------
6. RESPONSIBILITY
6.1 Breaking critical points of this offer will cause:
- Deletion of your decryption keys.
- Immediate sale or complete Disclosure of your leaked data.
- Notification of government supervision agencies, your competitors and clients.
|
