최근 랜섬웨어 공격조직 Evilcorp은 피해자의 몸값 지불을 금지하는 美 정부의 제재를 피하기 위해 Macaw locker라는 새로운 유형의 랜섬웨어를 사용했다. Indrik Spider 또는 Dridex 로 알려진 Evilcorp 랜섬웨어 조직은 2007년 부터 사이버 범죄에 관여해왔다. 이번에 발견한 새로운 랜섬웨어인 Macaw locker는 코드를 비교분석한 결과 Evil corp 랜섬웨어 계열의 최신 공격도구임을 확인했다. 이를 통해 현재 Evilcorp 랜섬웨어 조직은 450btc와 몸값 4천만 달러를 요구한 것으로 알려졌다.

과거 Evilcorp는 dridex 은행 트로이목마를 만들고 배포하여 공격을 다수 수행했다. 그리고 랜섬웨어 공격의 수익성이 높아짐에 따라 Dridex 악성코드를 통해 기업 네트워크를 손상시키고자 BitPaymer라는 작업을 수행했다. 이후 2019년 이들의 활동이 밝혀지며 美 정부에 의해  제재되었는데, 이러한 제재로 인해 랜섬웨어 공겨을 받은 기업들이 더이상 랜섬웨어 공격 집단에 몸값을 지불하지 않게 되었다.

이후 美의 제재를 우회하기 위해 Eveil Corp는 다양한 이름으로 랜섬웨어를 변경 운용하기 시작했다. 그리고 이번주, Macaw locker라는 새로운 랜섬웨어가 Evilcorp에 의해 수행되었다는 것이 발견되었다. Macaw locker는 피해자의 파일을 암호화하고 공격을 수행할 때 파일 이름에 .macaw 확장자명을 추가한다. 파일을 암호화하는 동안 랜섬웨어는 macaw_recover.txt라는 폴더를 생성하는데 해당 폴더에 있는 메모팡리에  tor사이트로 이동하게 하여 세개의 파일을 무료로 해독하는 도구와 공격자와 협상할 수 있는 id를 제공하고 있다.

 

[출처 : 中 보안매체 / 10.26.]

Hackers hide identity