Zollo Ransomware

악성 소프트웨어 위협은 끊임없이 진화하여 더욱 정교해지고 있으며, 이로 인해 개인과 조직 모두에게 기기 보호는 매우 중요한 과제가 되었습니다. 특히 랜섬웨어 공격은 심각한 운영 중단, 금전적 손실, 그리고 민감한 데이터 유출을 초래할 수 있습니다. 최근 발견된 위협 중 하나는 Zollo 랜섬웨어로, 파일을 암호화하고 피해자에게 금전을 요구하는 악성 프로그램입니다. 이러한 위협의 작동 방식과 확산 경로를 이해하는 것은 유사한 공격에 대한 강력한 방어 체계를 구축하는 데 필수적입니다.

Zollo 랜섬웨어의 등장

Zollo 랜섬웨어는 MedusaLocker 랜섬웨어 계열의 변종으로 확인되었습니다. 이 계열의 다른 랜섬웨어와 마찬가지로, 시스템에 침투하여 중요한 파일을 암호화하고, 복호화를 대가로 피해자에게 몸값을 요구하도록 설계되었습니다.

감염된 기기에서 실행되면, 이 악성 프로그램은 시스템에서 접근 가능한 파일을 검색하고 강력한 암호화 알고리즘을 사용하여 암호화합니다. 암호화 후, 랜섬웨어는 파일 이름에 '.zollo6'과 같은 특수한 확장자를 추가하여 파일 이름을 변경합니다. 예를 들면 다음과 같습니다.

• 1.png가 1.png.zollo6로 바뀝니다.
• 2.pdf가 2.pdf.zollo6으로 바뀝니다.

파일 확장자의 숫자는 다를 수 있지만 결과는 동일합니다. 암호화된 파일은 사용자가 접근할 수 없게 됩니다. 랜섬웨어는 파일 잠금 외에도 시스템의 바탕 화면 배경을 변경하고 'READ_NOTE.html'이라는 제목의 몸값 요구 메시지를 장치에 저장합니다.

암호화 방식 및 몸값 요구 메시지

공격자들이 남긴 몸값 요구 메시지에는 파일들이 RSA와 AES 암호화 방식을 조합하여 보호되었다고 명시되어 있는데, 이는 최신 랜섬웨어 공격에서 흔히 사용되는 암호화 방식입니다. 메시지에 따르면, 암호화된 파일을 복원, 이름 변경 또는 수정하려는 시도는 영구적인 데이터 손상으로 이어질 수 있습니다.

공격자들은 공개적으로 사용 가능한 소프트웨어로는 파일을 복구할 수 없으며, 자신들이 개발한 암호 해독 도구로만 접근 권한을 복원할 수 있다고 주장합니다. 피해자들은 제공된 이메일 주소를 통해 공격자들에게 연락하라는 안내를 받습니다.

• recovery1@salamati.vip
• recovery1@amniyat.xyz

이 메시지에는 시간적 압박 요소도 포함되어 있습니다. 피해자들은 72시간 이내에 연락이 닿지 않으면 몸값이 인상될 것이라는 경고를 받습니다.

데이터 절도 및 이중 협박 수법

이 랜섬웨어 변종의 특히 우려스러운 특징은 암호화 전에 기밀 데이터가 탈취되었다는 주장입니다. 공격자들은 이 정보가 자신들이 관리하는 개인 서버에 저장되어 있다고 말합니다.

몸값 요구 메시지에 따르면, 몸값을 지불하면 서버에서 탈취된 데이터가 삭제될 것입니다. 만약 몸값을 지불하지 않으면, 해킹 조직은 해당 정보를 공개하거나 판매하겠다고 협박합니다. 이러한 이중 협박 전략은 데이터 암호화와 공개 데이터 노출 위험을 결합하여 피해자에게 극심한 압박을 가합니다.

피해자가 몸값 요구에 응하더라도 공격자가 제대로 작동하는 복호화 도구를 제공하거나 탈취한 정보를 삭제할 것이라는 보장은 없습니다. 이러한 이유로 사이버 보안 전문가들은 일반적으로 몸값 지불을 권장하지 않습니다.

Zollo 랜섬웨어는 어떻게 확산되는가?

랜섬웨어 공격은 시스템 침투를 위해 기만과 사회공학적 기법을 자주 사용합니다. 공격자는 사용자가 악성 페이로드를 실행하도록 유도하기 위해 악성 페이로드를 정상적인 파일로 위장하는 경우가 많습니다.

일반적인 감염 경로는 다음과 같습니다.

• 피싱 이메일에 포함된 악성 첨부 파일 또는 링크
• 악성 소프트웨어를 다운로드하도록 유도하기 위해 고안된 가짜 기술 지원 알림입니다.
• 크랙 소프트웨어, 비공식 키 생성기 및 불법 복제 애플리케이션
• 취약점이 패치되지 않은 구형 소프트웨어
• 해킹당한 웹사이트, 악성 광고 및 P2P 파일 공유 네트워크
• 타사 다운로더 또는 감염된 USB 드라이브

랜섬웨어가 실행되면 즉시 파일 암호화를 시작하며 동일 네트워크 내의 연결된 시스템으로 확산되려고 시도할 수 있습니다.

복구 과제 및 사고 대응

암호화가 발생하면 피해자는 일반적으로 공격자의 복호화 키 없이는 감염된 파일을 열 수 없습니다. 복구는 특정 상황에서만 가능하며, 가장 가능성이 높은 경우는 공격 당시 감염된 시스템에 연결되지 않은 안전한 백업이 존재하는 경우입니다.

랜섬웨어가 발견되면 즉시 제거하는 것이 매우 중요합니다. 악성코드가 기기에서 활성화된 상태로 남아 있으면 추가 파일을 암호화하거나 네트워크상의 다른 기기로 확산을 시도할 수 있습니다. 따라서 감염된 시스템을 신속하게 격리하면 피해를 최소화하고 추가 확산을 방지할 수 있습니다.

랜섬웨어 예방을 위한 필수 보안 수칙

철저한 보안 습관은 졸로 랜섬웨어와 같은 위협에 감염될 가능성을 크게 줄여줍니다. 효과적인 보호를 위해서는 사전 예방적인 기술적 통제와 신중한 사용자 행동이 결합되어야 합니다.

운영 체제, 애플리케이션 및 보안 도구를 정기적으로 업데이트하는 것은 매우 중요합니다. 많은 랜섬웨어 공격이 오래된 소프트웨어의 취약점을 악용하기 때문입니다. 마찬가지로 중요한 것은 의심스러운 행위를 탐지할 수 있는 신뢰할 수 있는 안티바이러스 또는 엔드포인트 보호 솔루션을 사용하는 것입니다.

오프라인 또는 클라우드 기반 백업을 유지하는 것은 가장 효과적인 보안 조치 중 하나입니다. 백업은 공격 시 암호화되지 않도록 기본 시스템과 별도로 저장해야 합니다. 감염 발생 시, 손상되지 않은 백업이 있다면 몸값을 지불하지 않고도 시스템을 복원할 수 있습니다.

사용자들은 이메일 첨부 파일과 다운로드 파일에도 주의를 기울여야 합니다. 특히 긴급하거나 즉각적인 조치를 요구하는 의심스러운 파일은 열기 전에 반드시 검증해야 합니다. 기업들은 일반적으로 이메일 필터링, 첨부 파일 샌드박싱, 보안 인식 교육 등을 통해 이러한 보안을 강화합니다.

네트워크 세분화는 랜섬웨어가 환경에 침투한 후 확산될 수 있는 범위를 제한함으로써 위험을 더욱 줄일 수 있습니다. 접근 제어 및 모니터링 시스템과 결합된 세분화는 중요 인프라에 영향을 미치기 전에 감염을 차단하는 데 도움이 됩니다.

마지막으로

Zollo 랜섬웨어와 같은 랜섬웨어 위협은 사전 예방적인 사이버 보안 조치의 중요성을 강조합니다. 공격자들은 파일을 암호화하고, 데이터 유출을 위협하며, 시간적 압박을 가해 몸값을 요구함으로써 피해자에게 신속한 지불을 강요합니다.

시스템 업데이트, 신뢰할 수 있는 백업, 보안 소프트웨어, 그리고 사용자의 신중한 사용 습관을 결합한 다층적인 방어 전략은 이러한 위협을 완화하는 가장 효과적인 방법입니다. 조기 발견과 신속한 대응은 랜섬웨어 공격의 영향을 크게 줄이고 귀중한 데이터가 돌이킬 수 없이 손실되는 것을 방지할 수 있습니다.