체크멀(대표 김정훈)은 SMB 취약점을 통해 유포되는 카츄샤(Katyusha) 랜섬웨어가 발견됐다고 19일 밝혔다. 이 랜섬웨어는 DBGer, 럭키, 사탄, 워너크라이 랜섬웨어와 같이 이터널블루(EternalBlue) 취약점으로 SMB 프로토콜을 통해 전파가 이루어진다.
최초 실행되는 악성파일은 파일 암호화와 네트워크 전파 기능을 가진 두가지 파일을 생성한다. 또한 오픈소스 기반의 윈도우 비밀번호 추출을 위한 툴을 실행해 정보를 수집한다.
katyusha.data 데이터 파일의 코드는 ShortJSRAT 스크립트로 작성되어 있고, 특정 IP 주소에서 다운로드한 katyusha.exe 파일을 임시 폴더에 생성해 실행하도록 구성돼 있다. 이를 통해 실행된 파일은 파일 암호화 및 네트워크 전파 기능을 가진 파일이 지속적으로 전파되게 한다.
네트워크 전파 기능을 통해 감염이 이루어지면, 파일 암호화 후 확장명은 .katyusha로 변경된다. 윈도우 부팅 시마다 결제 안내 파일을 자동 실행해 비트코인 암호화폐를 요구하는 메시지를 생성한다.
해당 랜섬웨어는 파일 암호화 기능 외에 SMB 취약점 및 윈도우 비밀번호 정보를 수집해 연결된 내부 네트워크로 전파가 가능해 더욱 각별한 주의가 필요하다.
체크멀 관계자는 “앱체크는 카츄샤 랜섬웨어의 파일 암호화 행위를 정상적으로 차단하고 암호화된 파일에 대한 자동 복원을 지원한다”며 “윈도우 보안 업데이트를 통한 SMB 취약점 패치와 더불어 네트워크 계정 이름 및 비밀번호를 유추할 수 없도록 설정해야 한다”고 말했다.
