Prinz Eugen Ransomware
악성 소프트웨어는 끊임없이 진화하고 있으며, 랜섬웨어는 개인과 조직 모두에게 가장 큰 피해를 주는 사이버 위협 중 하나로 남아 있습니다. 단 한 번의 감염으로도 영구적인 데이터 손실, 운영 중단, 그리고 막대한 금전적 손실이 발생할 수 있습니다. 최근의 랜섬웨어 공격은 탐지를 회피하고 피해를 극대화하기 위해 정교한 기술을 사용하는 경우가 많으므로, 귀중한 정보와 핵심 시스템을 보호하기 위해서는 강력한 사이버 보안 관행을 유지하는 것이 필수적입니다.
목차
은밀한 랜섬웨어 공격
프린츠 오이겐(Prinz Eugen)은 Go 프로그래밍 언어로 작성된 랜섬웨어입니다. Go는 이식성과 효율성 덕분에 사이버 범죄자들 사이에서 점점 인기를 얻고 있는 개발 프레임워크입니다. 이 악성코드는 ROOTBOY라는 위협 행위자와 연관되어 있으며, 데이터를 암호화하여 피해자가 접근할 수 없도록 만드는 것이 주된 목표입니다.
Prinz Eugen은 실행되면 파일을 암호화하고 영향을 받는 모든 파일 이름에 '.prinzeugen' 확장자를 추가합니다. 예를 들어 '1.png' 파일은 '1.png.prinzeugen'이 되고, '2.pdf' 파일은 '2.pdf.prinzeugen'으로 이름이 바뀝니다. 이 과정이 완료되면 해당 파일은 더 이상 정상적으로 열 수 없습니다.
프린츠 오이겐의 가장 특이한 특징 중 하나는 몸값 요구 메시지가 전혀 없다는 점입니다. 텍스트 파일, 바탕화면, HTML 페이지 등을 통해 지불 방법을 안내하는 대부분의 랜섬웨어와는 달리, 이 악성코드는 아무런 메시지도 남기지 않습니다. 피해자는 무슨 일이 일어났는지, 어떻게 대처해야 하는지에 대한 직접적인 정보를 얻지 못해 혼란에 빠지고 초기 대응이 어려워집니다.
복구를 방지하도록 설계된 암호화
Prinz Eugen은 ChaCha20-Poly1305 암호화 알고리즘을 사용하여 파일을 암호화합니다. 이 악성 프로그램은 암호화된 파일마다 고유한 난수를 생성하므로, 하나의 파일을 복구하더라도 다른 파일의 복호화에는 도움이 되지 않습니다. 이러한 구현 방식 덕분에 암호 분석을 통한 복구 가능성이 크게 줄어듭니다.
수사를 더욱 어렵게 하기 위해, 랜섬웨어는 암호화 작업을 완료한 후 지연된 자체 삭제 메커니즘을 사용합니다. 감염된 시스템에서 스스로를 삭제함으로써, 프린츠 오이겐은 수사관들이 확보할 수 있는 포렌식 증거의 양을 줄이고 사건 대응 노력을 더욱 복잡하게 만듭니다.
안타깝게도 공격자가 제공한 복호화 도구 없이 파일을 복구하는 것은 현실적으로 불가능합니다. 설령 복호화 도구를 구할 수 있다 하더라도, 몸값을 지불하는 것 또한 위험한 도박입니다. 사이버 범죄자들이 몸값을 받은 후에도 제대로 작동하는 복호화 도구를 제공하지 않는 경우가 많기 때문입니다. 악성코드를 제거하면 추가적인 피해를 막을 수는 있지만, 이미 암호화된 데이터는 복구할 수 없습니다. 대부분의 경우, 유일하게 확실한 복구 방법은 오프라인이나 안전한 원격 서버에 저장된 정상적인 백업 파일에서 복원하는 것입니다.
공격자는 어떻게 접근 권한을 얻는가?
분석 결과, 탈취된 원격 데스크톱 프로토콜(RDP) 계정 정보가 프린츠 오이겐(Prinz Eugen) 랜섬웨어 운영자들이 사용하는 주요 침입 경로 중 하나인 것으로 나타났습니다. 공격자는 계정 정보 탈취, 비밀번호 재사용 또는 인터넷에 노출된 RDP 서비스에 대한 무차별 대입 공격을 통해 이러한 계정 정보를 획득할 수 있습니다. 일단 접근 권한을 확보하면, 공격자는 대상 시스템을 직접 제어하고 랜섬웨어 배포를 위한 환경을 조성할 수 있습니다.
공격자들은 암호화 프로세스를 시작하기 전 준비 단계에서 원격 관리 도구를 사용하는 것으로 알려졌습니다. 이러한 행태는 기업 및 조직을 대상으로 하는 침입에서 흔히 관찰되는 표적화되고 의도적인 공격 방식을 반영합니다.
다른 많은 랜섬웨어 계열과 마찬가지로 Prinz Eugen도 보다 전통적인 감염 경로를 통해 피해자에게 접근할 수 있습니다. 피싱 이메일, 트로이 목마, 불법 복제 소프트웨어 및 불법 소프트웨어 활성화 도구는 여전히 일반적인 유포 수단입니다. 악성 페이로드는 압축 파일, 실행 파일, Microsoft Office 문서 및 기타 합법적인 콘텐츠로 위장할 수 있습니다.
지시 없는 통신
감염된 기기에는 몸값 요구 메시지가 전송되지 않지만, 분석 결과에 따르면 공격자들은 피해자가 먼저 연락을 취할 것으로 예상됩니다. 공격자들은 prinzeugen@mail2tor.co와 standardbankcc@cock.li라는 이메일 주소를 통해 연락할 수 있는 것으로 알려져 있습니다. 구체적인 몸값 요구액은 공개되지 않아 피해자들은 비용과 데이터 복구 가능성에 대해 불확실한 상태입니다.
이러한 비전통적인 접근 방식은 랜섬웨어 공격자들이 사용하는 점점 더 다양해지는 전술을 보여주며, 몸값 요구 메시지가 없다고 해서 파일을 쉽게 복구할 수 있다는 신호로 해석해서는 안 된다는 점을 강조합니다.
랜섬웨어 공격에 대한 방어력 강화
프린츠 오이겐과 같은 위협으로부터 효과적으로 보호하려면 다층적인 보안 전략이 필요합니다. 조직과 개인 사용자는 공격자가 처음 접근할 수 있는 기회를 줄이는 데 집중하는 동시에 사고 발생 시 복구 옵션이 확보되도록 해야 합니다.
다음과 같은 조치를 취하면 랜섬웨어 감염에 대한 복원력을 크게 향상시킬 수 있습니다.
- 정기적으로 백업을 수행하고, 백업본을 오프라인이나 감염된 시스템에서 직접 수정할 수 없는 안전한 클라우드 환경에 저장하십시오.
- 강력하고 고유한 비밀번호를 사용하고 RDP와 같은 원격 접속 서비스를 다단계 인증으로 보호하십시오.
- 불필요한 원격 접속 서비스를 비활성화하고 RDP를 인터넷에 직접 노출하지 마십시오.
- 알려진 취약점을 제거하기 위해 운영 체제 및 소프트웨어 업데이트를 즉시 설치하십시오.
- 의심스러운 행동과 랜섬웨어 활동을 탐지할 수 있는 평판이 좋은 보안 소프트웨어를 배포하십시오.
- 출처가 불분명한 이메일 첨부파일을 열거나, 파일을 다운로드하거나, 소프트웨어를 설치할 때는 주의를 기울이십시오.
- 불법 복제 프로그램, 소프트웨어 크랙 및 승인되지 않은 활성화 도구 사용을 피하십시오.
사이버 보안 인식 제고 또한 매우 중요합니다. 사용자들은 시스템의 비정상적인 동작을 감시하고, 최소 권한 원칙에 기반한 접근 제어를 구현하며, 백업 복원 절차를 정기적으로 테스트해야 합니다. 조직은 또한 사고 대응 계획을 수립하고, 직원들이 피싱 시도 및 기타 사회공학적 기법을 식별할 수 있도록 교육해야 합니다.
마지막으로
프린츠 오이겐(Prinz Eugen)은 강력한 암호화, 표적 침입 기법, 그리고 증거를 최소화하면서 피해를 극대화하는 자체 삭제 기능을 결합한 정교하고 은밀한 랜섬웨어입니다. 특히 몸값 요구 메시지가 없다는 점이 특이하며, 피해자의 적절한 대응을 지연시킬 수 있습니다. 공격자가 제공하는 도구 없이는 복호화가 불가능하기 때문에, 예방, 강력한 접근 보안, 그리고 신뢰할 수 있는 백업이 이 악성코드에 대한 가장 효과적인 방어책입니다.
