랜섬웨어 Akira - VPN을 통해 국내 제약 회사를 공격!!

닉맨 2023.06.19 11:27:22

 

2023년에 보안업체인 Sophos에 의해 새롭게 확인된 Akira 랜섬웨어는 VPN을 통해 국내 제약회사에 침입하여 네트워크 드라이브 검색과 원격 프로그램을 설치 하여 기업의 내부 데이터를 유출하고 암호화를 진행 했습니다

 

Akira 랜섬웨어는 1988년 인기 애니메이션의 이름을 사용 하고 있습니다

 

백업프로그램.gif

 

Akira 랜섬웨어의 변종에 따라 파일 암호화 이후 변경 되는 파일 확장자가 .akira, .iqoj 등과 같이 생성 될 수 있으며

 

파일 암호화 이후 생성되는 안내 파일도 akira_readme.txt, readme-asldkas.txt 등의 이름으로 생성 될 수 있습니다

 

아래의 폴더 안의 파일과 특정 파일 확장자를 가진 파일에 대해서는 암호화를 하지 않습니다

 

폴더 : $RECYCLE.BIN, $Recycle.bin, Boot, ProgramDATA, System Volume Infomation, temp, thumb, Trend Micro, Windows, winnt

특정 확장자 : .dll, .exe, .lnk, .msi, .sys

 

Akira 랜섬웨어는 복구를 못하도록 볼륨쉐도우 복사본을 삭제하는 명령 처리를 합니다

 

또한, 시스템 드라이브 검색을 통해 숨겨진 드라이브를 활성화 시켜 파일 암호화를 진행 합니다

 

파일 암호화 이후 생성된 안내 파일에는 파일이 암호화된 사실과 기업의 내부 데이터를 유출 하였다는 내용이 포함 되어 있습니다

 

백업프로그램_백업웨어.gif

 

안내 파일 내용에 기재된 블로그 주소로 접속하면 Linux 명령어 방식으로 볼수 있는 Akira가 유출한 정보를 확인할 수 있습니다

 

Backupware_백업프로그램.gif

 

Akira 랜섬웨어의 공격 방법이 VPN계정을 해킹 하거나 알려지지 않은 보안 취약점을 이용하는 만큼 계정 관리에 각별한 주의가 필요 합니다