비너스락커(VenusLocker) 혹은 모방조직, zipx 압축바카라보라 형식을 이용하여 LockBit 3.0 랜섬웨어 유포중!

​

국내에 꾸준히 바카라보라를 유포중인 비너스락커(VenusLocker)조직(혹은 비너스락커 조직을 모방하는 조직)이 LockBit 바카라보라의 유포방식을 변경하였습니다.

​

[그림 1] 입사지원서를 위장하여 유포중인 피싱 메일

이번에도역시입사지원서를위장한이메일을통해유포하고있으나,기존과다르게.zipx형태의압축바카라보라을첨부한것이특징입니다.

zipx바카라보라포멧은WinZip에서개발한ZIP포맷의확장형식으로,압축해제를지원하는프로그램이적습니다.

압축해제를지원하는프로그램이적은형태를사용한것은,보안프로그램의탐지를우회하고자시도한것으로추정됩니다.

만일사용자가사용하는압축해제프로그램이zipx압축해제를지원하는바카라보라이라면일반.zip바카라보라처럼더블클릭만으로압축해제가가능합니다.

압축바카라보라내부에는워드바카라보라아이콘을위장한악성.exe바카라보라과지원서바카라보라명.jpg바카라보라을위장한정상dll바카라보라이포함되어있습니다.

​

[그림 2] 압축바카라보라 내 첨부되어 있는 바카라보라

사용자가 .exe 바카라보라을 워드바카라보라로 오인하여 실행하면 LockBit 3.0 랜섬웨어가 실행되며 사용자 PC내 바카라보라들이 암호화 됩니다.

​

[그림 3] 감염 후 바탕화면 및 랜섬노트

LockBit 3.0 바카라보라는 22년 7월 초에 새로 등장한 버전으로, 8월 초 국내에서도 유포중인 정확이 확인되었습니다.

최근 다양한 형태로 랜섬웨어들이 많이 유포되고 있는 만큼, 사용자 여러분들께서는 수상한 바카라보라 실행 전 반드시 확장자를 확인하시고, 중요 바카라보라에 대해서는 주기적인 백업을 진행하시기를 바랍니다.

현재 알약에서는 해당 바카라보라에 대해Trojan.Ransom.LockBit로 탐지중에며, 유포 상황에 대해서도 지속적인 모니터링을 진행중에 있습니다.