최신 Conti 랜섬웨어 소스코드 버전3, 추가 유출돼

우크라이나 보안 연구원은 러시아의 우크라이나 침공 지원에 대한 보복으로 Conti 그룹의 새로운 악성코드 소스코드를 추가 유출했습니다.

 

Conti 그룹은 러시아를 기반으로 한 랜섬웨어 그룹으로 많은 악성코드 제품을 개발하였으며, 가장 활발하게 활동하는 사이버 범죄 그룹 중 하나입니다.

 

지난달 익명의 연구원(@ContiLeaks)은 2021년 1월 21일부터 2022년 2월 27일까지 Conti 랜섬웨어 그룹의 170,000건의 내부 채팅 메시지를 유출했습니다. 이 내부 채팅 메시지는 Conti 그룹의 작업 활동에 대한 정보를 제공합니다.

 

연구원은 최초 유출 이후로도 2020년 9월 15일자의 오래된 Conti 랜섬웨어 소스코드를 유출했습니다. 소스코드는 오래되었지만 보안 연구원과 법 집행 기관은 악성코드를 분석하여 작동 방식을 분석하고 이해할 수 있었습니다.

 

Conti 랜섬웨어 소스코드 v3 추가 유출

3월 20일, Conti Leaks은 Conti v3의 소스코드를 VirusTotal에 업로드하고, Twitter에 링크를 게시했습니다. 압축파일에은 비밀번호로 보호되지만 비밀번호는 후속 트윗에서 쉽게 확인할 수 있습니다.

[그림 1] Conti v3의 소스코드 유출 게시글

 

Conti v3의 소스코드 파일의 마지막 수정 날짜는 2021년 1월 25일으로, 과거에 유출된 소스코드보다 1년 이상 최신입니다.

[그림 2] Conti v3의 소스코드 유출 파일 목록(출처: BleepingComputer)

 

이전 버전과 마찬가지로 유출된 소스코드는 접근 권한이 있는 모든 사용자가 랜섬웨어 암호화 및 복호화를 컴파일할 수 있는 Visual Studio 솔루션입니다.

[그림 3] Visual Studio에서 컴파일한 Conti source v3(출처: BleepingComputer)

 

소스코드는 오류 없이 컴파일되며 다른 위협 행위자가 자체 공개키를 사용하거나 새로운 기능을 추가하기 위해 쉽게 수정할 수 있습니다. 

 

아래와 같이 BleepingComputer는 문제 없이 소스 코드를 컴파일하여 cryptor.exe, cryptor_dll.dll, Decryptor.exe 실행 파일을 생성했습니다.

[그림 4] 컴파일된 Conti 실행 파일(출처: BleepingComputer)

 

특히 Conti 그룹의 랜섬웨어 소스코드 유출은 기업 네트워크와 소비자에게 치명적인 영향을 미칠 수 있습니다. 이는 다른 위협 행위자가 공개된 소스코드를 악용하여 자체 랜섬웨어 작업을 진행하는것이 매우 일반적이기 때문입니다.

 

과거에 한 연구원이 Hidden Tear 랜섬웨어 소스코드를 공개했고, 이 소스코드는 많은 위협 행위자들에게 사용되었습니다. Hidden Tear 랜섬웨어는 이제 복호화할 수 있지만, 수년 동안 새로운 랜섬웨어 감염으로 큰 피해를 주었습니다.

 

최근 러시아어권 해킹 포럼에서 한 위협 행위자가 Babuk 랜섬웨어 소스코드를 유출했습니다. 며칠 안에  다른 위협 행위자들은 유출된 소스코드를 사용했으며 Rook, Pandora와 같은 새로운 랜섬웨어 작업이 시작되었습니다.

 

Conti 그룹의 소스코드가 지속적으로 유출되면서, 다른 위협 행위자가 유출된 소스코드를 이용해 랜섬웨어 서비스를 시작하는 것은 시간문제라고 여겨집니다.

 

(출처: 

https://www.bleepingcomputer.com/news/security/newer-conti-ransomware-source-code-leaked-out-of-revenge/)

 

보안관제센터 MIR Team