크리토니 랜섬웨어, 지하 포럼에서 $3000에 판매, Tor 익명 네트워크를 사용하여 C & C 서버와 통신

새로운 랜섬웨어인 크리토니가 지하 포럼에서 판매되고 있습니다. 이 랜섬웨어의 특징은 원격 명령 및 제어 서버와 통신하기 위해 Tor 네트워크를 사용한다는 것입니다. 이는 통신을 익명화하여 랜섬웨어 명령이 명령 및 제어 서버에 도달하기 전에 여러 층의 Tor 익명화 설정을 통과하기 때문에 탐지가 불가능하게 만듭니다.

초보자를 위해 설명하자면, 랜섬웨어는 컴퓨터에 감염되면 다양한 유형의 파일, 문서, 비디오 및 이미지를 암호화하고, 데이터를 복호화하기 위한 키에 대한 몸값을 지불하라고 요구하는 악성 소프트웨어입니다.

크리토니 판매를 제안하는 게시물은 프랑스 보안 연구원 카페인(Kafeine)에 의해 발견되었습니다. 그는 이 광고가 2014년 6월 중순부터 올라와 있었다고 말했습니다. 그는 이 악성 소프트웨어의 가격이 $3,000.00 / €2,220.00 / Rs.180,000.00라고 전했습니다.

이 특정 악성 소프트웨어는 사이버 범죄자들에 의해 CTB-Locker(커브-토르-비트코인 잠금 장치)로 명명되었고, 마이크로소프트에 의해 Critoni.A로 명명되었습니다. 크리토니는 타원 곡선에 의존하는 지속적인 암호화를 사용하여 파일 복호화를 불가능하게 만듭니다. 키는 무작위로 생성되며 두 키가 동일할 위험이 없습니다. 감염된 경우, 거래 추적을 방지하기 위해 비트코인으로 몸값을 지불해야 합니다. 랜섬웨어는 또한 비트코인을 소유하지 않은 경우 시장을 통해 비트코인을 얻는 방법에 대한 튜토리얼을 제공합니다. 사실, 피해자가 Tor 익명화 네트워크에 처음이라면 Tor 다운로드에 대한 튜토리얼도 제공합니다.

카페인에 따르면, 지하 포럼의 게시물은 인터넷 연결이 없을 경우에도 암호화 프로세스가 수행될 수 있다고 언급했지만, 그 경우 C & C 서버와 어떻게 연결될 수 있는지는 의문입니다. 카페인은 또한 크리토니가 앵글러 익스플로잇 킷을 통해 배포되는 것이 목격되었지만, 다른 형태의 공격도 발견되었다고 보고했습니다.

크리토니의 또 다른 특징은 몸값 지불을 위한 설정된 기간이 만료되면 파일 잠금 프로그램이 자동으로 삭제되고 피해자에게 데이터를 복구할 수 있는 또 다른 기회를 제공한다는 것입니다. 이러한 지침은 문서 폴더에 위치한 TXT 파일에 제공됩니다.

카스퍼스키의 보안 전문가들에 따르면, 이는 Tor 네트워크를 사용하여 명령 및 제어 서버와의 통신을 익명화하는 첫 번째 암호 악성 소프트웨어입니다. 이러한 종류의 보호는 일반적으로 제우스 악성 소프트웨어와 같은 은행 트로이 목마에서 볼 수 있습니다.

Threatpost의 보고서에서 카스퍼스키의 페도르 시니친(Fedor Sinitsyn)은 “Tor 연결을 설정하기 위한 실행 가능한 코드가 악성 소프트웨어의 본체에 내장되어 있습니다. 이전의 이 유형의 악성 소프트웨어는 일반적으로 Tor.exe 파일로 수행되었습니다. Tor 기능을 악성 소프트웨어의 본체에 내장하는 것은 프로그래밍 관점에서 더 어려운 작업이지만, 탐지를 피하는 데 도움이 되고 일반적으로 더 효율적이기 때문에 몇 가지 이점이 있습니다.”라고 말했습니다.

Tor 네트워크를 사용하면 탐지 위험이 줄어들고 사이버 범죄자들이 크리토니의 무고한 피해자를 통해 비트코인을 쉽게 발행할 수 있게 됩니다.