Cortizol Ransomware

악성코드 감염은 규모와 복잡성이 지속적으로 증가하고 있어 개인과 조직 모두 모든 기기에서 강력한 방어 체계를 유지하는 것이 필수적입니다. 특히 랜섬웨어는 데이터 기밀성을 손상시킬 뿐만 아니라 사용자가 자신의 파일에 접근하지 못하도록 차단하여 시스템 가용성을 저해하기 때문에 심각한 위험을 초래합니다. 최근 분석된 위협 사례 중 하나로 코르티졸 랜섬웨어(Cortizol Ransomware)가 있습니다. 이 정교한 파일 암호화 악성코드는 협박과 기술적 조작을 통해 피해자로부터 금품을 갈취하도록 설계되었습니다.

코르티졸 랜섬웨어: 치밀하게 계획된 암호화 방식

코르티졸 랜섬웨어는 정보 보안 연구원들이 수행한 상세한 악성코드 조사 과정에서 발견되었습니다. 시스템에서 실행되면 이 랜섬웨어는 파일을 암호화하고 특정한 패턴으로 파일 이름을 변경합니다. 암호화된 각 파일에는 피해자 ID, 연락처 이메일 주소, 그리고 '.Cortizol' 확장자가 추가됩니다. 예를 들어, 원래 '1.png'라는 파일은 '1.png-id-6640599815[cortizol@atomicmail.io].Cortizol'로, '2.pdf'는 '2.pdf-id-6640599815[cortizol@atomicmail.io].Cortizol'로 이름이 바뀝니다.

이러한 파일 이름 변경 규칙은 두 가지 목적을 달성합니다. 첫째, 파일이 인질로 잡혔다는 사실을 명확히 알리고, 둘째, 공격자가 피해자를 추적하는 데 사용할 식별 정보를 포함시킵니다. 코르티졸은 파일 암호화 외에도 바탕 화면 배경을 변경하여 공격 사실을 더욱 눈에 띄게 하고, 'HOW_TO_RECOVER.txt'라는 제목의 랜섬웨어 안내문을 생성하여 피해자가 사건을 간과할 수 없도록 합니다.

몸값 요구 편지와 심리적 압박

랜섬웨어 메시지에는 해킹된 시스템의 모든 파일이 암호화되었으며, 공격자가 보유한 고유한 개인 키 없이는 복호화가 불가능하다고 명시되어 있습니다. 또한, 제3자 복호화 도구를 사용하거나 암호화된 파일의 이름을 변경하면 데이터가 영구적으로 손상될 것이라고 경고합니다. 이러한 경고는 독립적인 복구 시도를 막기 위한 일반적인 심리적 전략입니다.

Cortizol은 피해자에게 'C:\ProgramData\' 디렉토리 또는 다른 드라이브에 저장되어 있다고 주장하는 'key.Cortizol'이라는 파일을 찾아 공격자에게 보내라고 지시합니다. 또한 이 키 파일을 보존하지 않고 Windows 운영 체제를 재설치하거나 수정하지 말라고 경고하며, 지시 사항을 정확히 따르지 않을 경우 복구할 수 없는 데이터 손실이 발생할 수 있다고 협박합니다. 연락 수단으로는 cortizol@atomicmail.io 이메일 주소가 있습니다.
또한 Cortizol2025라는 텔레그램 계정도 있습니다. 이러한 다채널 접촉 방식은 피해자가 협조할 가능성을 높입니다.

공격자들은 개인 키를 구매하는 것이 접근 권한 복구의 유일한 방법이라고 주장하지만, 사이버 보안 분야의 경험은 몸값을 지불한다고 해서 파일 복구가 보장되는 것은 아니라는 점을 일관되게 보여줍니다. 사이버 범죄자들은 제대로 작동하는 복호화 도구를 제공하지 않거나, 지불 후 연락을 끊을 수도 있습니다.

감염 매개체 및 전달 기술

코르티졸 랜섬웨어는 다양한 일반적인 유포 방식을 통해 확산됩니다. 피싱 이메일은 여전히 가장 효과적인 유포 수단 중 하나이며, 악성 첨부 파일이나 페이로드 다운로드를 유발하는 링크를 포함하는 경우가 많습니다. 가짜 기술 지원 사기 및 사회 공학적 수법 또한 사용자의 접근 가능성을 높입니다.

공격자들은 불법 복제 소프트웨어, 크랙, 그리고 비공식 또는 P2P 파일 공유 네트워크에서 얻은 키 생성기를 통해 랜섬웨어를 유포하기도 합니다. 해킹된 웹사이트, 기만적인 광고, 감염된 USB 드라이브, 그리고 오래된 소프트웨어의 취약점 악용 또한 추가적인 침입 경로가 됩니다. 악성 페이로드는 일반적으로 실행 파일, 스크립트, ZIP 또는 RAR 파일과 같은 압축 파일, 또는 Word, Excel, PDF 파일과 같은 정상적인 문서 내에 숨겨져 있습니다. 이처럼 악성 코드가 익숙한 형식과 섞여 있으면 감염 성공률이 높아집니다.

영향 및 감염 후 위험

코르티졸 랜섬웨어는 활성화되면 접근 가능한 파일들을 암호화할 뿐만 아니라, 추가적인 데이터를 공격하기 위해 지속적으로 스캔할 수 있습니다. 제거되지 않은 상태로 방치될 경우, 랜섬웨어는 동일 네트워크 내 연결된 시스템들로 확산되어 운영 중단과 금전적 손실을 가중시킬 수 있습니다. 랜섬웨어가 기기에 오래 남아 있을수록 암호화 범위가 확장되고 2차 페이로드가 배포될 위험이 커집니다.

공격자의 개인 키 없이는 복구가 사실상 불가능하며, 안전하고 손상되지 않은 백업이 존재하는 경우에만 예외적으로 복구가 가능합니다. 따라서 신뢰할 수 있는 오프라인 또는 클라우드 기반 백업을 보유한 조직 및 개인 사용자는 협박에 굴복하지 않고 운영을 복원할 수 있는 훨씬 유리한 위치에 있습니다.

랜섬웨어 공격에 대한 방어력 강화

코르티졸과 같은 위협에 효과적으로 대응하려면 기술적 보호 조치와 사용자 인식 제고를 결합한 다층적인 보안 접근 방식이 필요합니다. 다음 사항들을 실천하면 랜섬웨어 감염 위험을 크게 줄일 수 있습니다.

• 주 시스템과 격리된 오프라인 또는 안전한 클라우드 환경에 정기적이고 자동화된 백업을 유지하십시오.
• 운영 체제, 애플리케이션 및 보안 소프트웨어를 최신 상태로 유지하여 알려진 취약점을 패치하십시오.
• 랜섬웨어의 행동 패턴을 탐지할 수 있는 신뢰할 수 있는 엔드포인트 보호 솔루션을 사용하십시오.
• 불법 복제 소프트웨어나 파일을 비공식 출처 또는 P2P 네트워크에서 다운로드하지 마십시오.
• 이메일 첨부파일을 다루거나 링크를 클릭할 때는, 특히 알 수 없거나 예상치 못한 발신자로부터 온 경우 주의하십시오.
• Office 문서에서 매크로를 사용할 때는 반드시 필요한 경우가 아니면 사용하지 마십시오. 매크로는 안전성이 검증된 경우에만 사용하십시오.

이러한 조치 외에도, 탐지된 랜섬웨어를 신속하게 제거하는 것은 추가적인 파일 암호화나 네트워크 확산을 방지하는 데 매우 중요합니다. 사고 대응 절차에는 감염된 시스템을 네트워크에서 격리하고, 철저한 악성코드 검사를 수행하며, 가능한 경우 백업에서 정상적인 데이터를 복원하는 것이 포함되어야 합니다.

코르티졸 랜섬웨어는 최신 랜섬웨어가 기술적 암호화 메커니즘과 사회 공학적 기법, 심리적 압박을 어떻게 결합하는지 보여주는 사례입니다. 선제적인 보안 조치와 신뢰할 수 있는 데이터 백업 전략을 병행하는 것이 이러한 진화하는 사이버 위협에 대응하는 가장 효과적인 방법입니다.