지독한 랜섬웨어 포착

야슈마 랜섬웨어는 2022년 5월 처음 등장. 

베트남 출신들로 구성되었고

야슈마는 닷넷(.NET)을 기반으로 만든 32비트 실행파일로, 악명 높은 카오스(Chaos) 랜섬웨어의 5번째 버전의

또 다른 이름이다. 카오스 5번 버전의 기능 대부분을 유지하고 있긴 하지만 다른 점들도 존재하고 있다.  

카오스라는 악성 코드 빌더 내에 포함되어 있는 랜섬웨어였으나, 이미 그 때부터 완성된 멀웨어였고, 따라서 카오스와 상관없이 단독으로 사용되어도 이상할 것이 없었다. 카오스는 여러 가지 악성 공격을 가능하게 해 주는 도구로, 해커들을 위한 일종의 ‘스위스군 휴대용 칼’과 같은 존재였다. 그런 야슈마가 변이되고 또 변이되면서 결국 나타난 것이 지금의 야슈마라고 할 수 있다.

 “이전 버전의 야슈마는 Run이라는 레지스트리 키를 악용하고, 또 윈도 시작 폴더에 랜섬웨어 실행 파일과 연결된 바로가기 파일을 만들어 삽입하는 방식으로 공격 지속성을 확보했습니다. 이번 버전에서도 이 방법이 똑같이 사용되고 있습니다만, 

여기에 추가된 게 있습니다. AppData/Roaming/svchost.exe과 같은 폴더에 실행파일을 드롭시키는 것입니다. 그리고 이 파일의 바로가기 파일을 시작폴더에 삽입합니다.”

원래의 골치 아팠던 기능을 그대로 유지하고 있기도 하다. “야슈마는 독특한 복구 방지 기능을 이전부터 차용해 왔습니다. 피해자의 파일을 암호화 한 후에 원 파일의 콘텐츠를 전부 삭제하고 나서 “?”라는 문자 하나만 남겨두는 것이죠. 이렇게 하면 사건 대응과 추적, 포렌식 분석이 매우 어려워집니다. 파일 복구도 훨씬 어려워지고요.”

한 마디로 최근 등장하여 유행하기 시작한 야슈마는 한 번 당하면 꽤나 골치를 썩게 만들 수 있는 지독한 멀웨어라고 할 수 있다. 대책은 엔드포인트 보호 솔루션과 웹 앱 보안 솔루션, 이메일 솔루션도 적극 활용할 것을 권고하고 있기도 하다. “랜섬웨어는 이메일을 통해 침투하는 경우가 꽤나 많습니다. 그러니 이메일 쪽을 잘 틀어막는 것이 중요한 전략이 될 수 있습니다.” 

원본기사 출처 :  새롭게 등장한 야슈마 랜섬웨어의 변종, 한 번 당하면 지독하게 당할 수 있다 (boannews.com)

3줄 요약
1. 랜섬웨어 공격자들, 피싱보다 취약점 익스플로잇에 더 집중.
2. 랜섬웨어 공격자들, 대기업보다 중소기업에 더 집중.
3. 랜섬웨어 피해자들, 한 번 당하면 두 번, 세 번 더 당함.