신규 Luna 랜섬웨어 등장, 윈도우·리눅스·ESXi 시스템 암호화해

신규 랜섬웨어 Luna 등장, 윈도우·리눅스·ESXi 시스템 암호화해

 

루나(Luna) 랜섬웨어

윈도우·리눅스·ESXi(VMware의 하이퍼바이저) 시스템을 대상으로
암호화할 수 있는 새로운 루나(Luna) 랜섬웨어가 등장했습니다.

* Luna : 러시아어로 달을 의미

 

위협 행위자는 러시아인 ?

Kaspersky 보안 연구원에 의해 발견된 루나(Luna) 랜섬웨어는
러시아어를 사용하는 계열사와만 협력하거나
바이너리에 하드코딩된 랜섬 노트에 있는 철자 오류
등을 기반으로 그의 배후가 러시아인임을 암시하고 있습니다.

 

Rust로 만들어진 세 번째 랜섬웨어

최근 랜섬웨어 개발자들 사이에서는 코드 변경 없이 여러 운영체제를
대상으로 공격할 수 있는 악성 프로그램을 만드는 것이 대세입니다.

 

루나 랜섬웨어 역시 플랫폼에 구애받지 않는 Rust 프로그래밍 언어로
만들어졌기 때문에, 동시에 다른 운영체제를 대상으로 공격이 가능합니다.

 

또한, 크로스 플랫폼 언어는 정적 분석을 회피하는 데에도 도움이 됩니다.

 

* Rust로 작성되었다고 알려진 기존 랜섬웨어는 BlackCat과 Hive가 있습니다.

 

흔치 않은 암호화 방식

루나 랜섬웨어는 기존 랜섬웨어에서 거의 볼 수 없었던 암호화 방식을 사용합니다.

 

X25519 + AES

*Curve25519를 사용하는 빠르고 안전한 *타원곡선 디피 헬만(ECDH, Elliptic-curve Diffie-Hellman)

키 교환 방식의 X25519와 AES 대칭 암호화 알고리즘을 결합한 형태의 암호화 방식을 사용합니다.

 

* 타원곡선 디피 헬만(ECDH, Elliptic-curve Diffie-Hellman)
타원곡선 암호기술(ECC)을 사용하는 키 교환 알고리즘

* 타원곡선 암호기술(ECC, Elliptic Curve Cryptography)
RSA를 대체할 차세대 공개키 암호 기술로써, 더 작은 키 사이즈로 더 높은 보안 강도를 제공

* Curve25519
ECDH의 키 교환 방식과 함께 사용하도록 고안된 타원 곡선

여전히 개발 중

루나(Luna) 랜섬웨어는
사용 가능한 명령어 옵션에 따른 기능이 제한적이며
구성이 매우 단순한 랜섬웨어로 아직 개발 중에 있습니다.

 

최근에 발견되어 피해자 유형에 대한 정보는 아직 확보되지 않았으나,
‘크로스 플랫폼’ 유행에 따라 제작된 Rust 기반 랜섬웨어라는 점에서 주목할 필요가 있습니다.

 

랜섬웨어 예방법

[1] 신뢰할 수 없는 링크는 클릭하지 않기

[2] 의심스러운 이메일 첨부 파일 열지 않기

[3] 모든 시스템·소프트웨어와 운영 체제를 최신 상태로 유지하기

[4] 안티바이러스 소프트웨어 및 방화벽 등 보안 프로그램 사용하기

[5] 중요한 자료는 주기적인 백업을 통해 오프라인 또는 별도의 네트워크에 보관하기

 

랜섬웨어에 감염이 되었다면?

랜섬웨어 감염 시 피해 최소화를 위한 긴급 조치 내역은 아래와 같습니다.
* 출처 : KISA, '랜섬웨어 대응 가이드'

 

[1] 외부 저장장치 연결 해제

랜섬웨어는 공유폴더, PC에 연결되어 있는 이동식 저장장치(USB)나 외장하드 등에

저장되어 있는 파일에도 접근해서 암호화할 수 있기 때문에

기존에 백업해둔 파일까지 암호화될 수 있습니다.

 

[2] PC 전원 유지

경우에 따라 PC가 종료된다면 부팅이 불가능하게 되는 경우도 있으므로,

PC의 전원은 끄지 않는 것이 좋습니다.

 

[3] 네트워크 차단

네트워크를 통해 랜섬웨어가 확산될 가능성이 있으므로,

감염 사실 인지 즉시 네트워크 및 모든 무선 연결로부터 감염된 기기를 격리시킵니다.

 

[4] 복구 방법 관리

감염 알림 창이나 암호화된 파일 등을 통해 랜섬웨어의 유형을 파악하고,

백신 소프트웨어 제조사 홈페이지 등을 통해 제공하는 복구 툴이 있는지 확인합니다.

 

감사합니다.