새로운 서비스형 랜섬웨어 Sugar 주의

월마트의 사이버 위협 팀이 새로운 서비스형 랜섬웨어 패밀리 Sugar를 분석했습니다.

Sugar 랜섬웨어는 기업 망 전체를 겨냥한 기존 랜섬웨어와는 달리 주로 특정 컴퓨터에 집중 하는 것으로 확인되었습니다. Sugar 랜섬웨어는 2021년 11월에 실제 공격에서 처음 발견되었으며, 다른 랜섬웨어 패밀리의 코드를 차용하는 Delphi 악성코드입니다.

 

Sugar 랜섬웨어의 특징은 크립터에서 사용되는 수정된 버전의 RC4 알고리즘이 악성코드 내 문자열 디코딩 과정에서 재사용된다는 것입니다.

월마트의 사이버 위협 팀은  "해당 악성코드는 델파이로 작성되었지만, RE 관점에서 흥미로운 부분은 악성코드에서 문자열 디코딩의 일부로 크립터의 동일한 루틴을 재사용했다는 것” 이라고 밝혔습니다. 따라서 Sugar 랜섬웨어와 해당 크립터의 개발자가 동일하고, 해당 크립터는 주요 공격자가 계열사에 제공하는 서비스의 일부이거나 빌드 프로세스의 일부일 것이라 추측하였습니다.

전문가들은 Sugar 랜섬웨어의 랜섬노트에서 REvil 랜섬웨어와 일부 유사점을 발견했으며, 복호화 안내 페이지는 Cl0p 랜섬웨어와 유사합니다.

또한 암·복호화에 사용된 GPLib 라이브러리에서 또 다른 유사점을 발견했습니다.

 

[그림1] Clop 랜섬웨어 복호화 안내 페이지 (출처: medium.com)

 

[그림2] Sugar 랜섬웨어 복호화 안내 페이지 (출처: medium.com)

IOC

bottomcdnfiles[.]com cdnmegafiles[.]com 179.43.160[.]195 chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd[.]onion 82.146.53[.]237 sugarpanel[.]space

 

 

출처 :

https://securityaffairs.co/wordpress/127545/malware/sugar-ransomware-a-new-raas-in-the-threat-landscape.html

https://medium.com/walmartglobaltech/sugar-ransomware-a-new-raas-a5d94d58d9fb

 

보안관제센터 MIR Team