pro-Russia 해킹 그룹인 CyberVolk가 개발한 랜섬웨어 서비스인 VolkLocker에 심각한 구현 결함이 있어, 피해자들이 파일을 무료로 복호화할 수 있는 가능성이 있다고 SentinelOne 연구원들이 밝혔습니다. 이 랜섬웨어는 바이너리에 하드코딩된 마스터 키를 사용하며, 이 키는 평문으로 숨겨진 파일에 기록되어 있습니다. 이로 인해 피해를 입은 기업들이 이 키를 사용해 파일을 무료로 복호화할 수 있게 되어, VolkLocker의 사이버 범죄 공간에서의 잠재력을 약화시킵니다.
CyberVolk는 인도 기반의 pro-Russia 해킹 집단으로, 작년에 운영을 시작하여 러시아를 반대하거나 우크라이나를 지지하는 공공 및 정부 기관에 대한 분산 서비스 거부 및 랜섬웨어 공격을 시작했습니다. 이 그룹은 텔레그램에서 중단되었지만, 2025년 8월에 새로운 RaaS 프로그램인 VolkLocker (CyberVolk 2.x)를 도입하여 Linux/VMware ESXi 및 Windows 시스템을 대상으로 하였습니다. VolkLocker의 특징 중 하나는 코드에 Golang 타이머 기능을 사용하는 것으로, 이 기능은 만료되거나 HTML 랜섬웨어 노트에 잘못된 키가 입력되면 사용자 폴더를 삭제하는 트리거 역할을 합니다.
VolkLocker는 AES-256을 GCM (Galois/Counter Mode) 암호화에 사용하며, 바이너리에 포함된 64자리 16진수 문자열에서 파생된 32비트 마스터 키를 사용합니다. 각 파일에 대해 무작위 12바이트 nonce가 초기화 벡터 (IV)로 사용되며, 원본 파일을 삭제하고 암호화된 복사본에 .locked 또는 .cvolk 파일 확장자를 추가합니다. 문제는 VolkLocker가 피해자 시스템의 모든 파일을 암호화하는 데 동일한 마스터 키를 사용하고, 그 키가 %TEMP% 폴더의 평문 파일 (system_backup.key)에도 기록된다는 것입니다.
요약
- 프로-러시아 해킹 그룹 CyberVolk가 개발한 랜섬웨어 서비스인 VolkLocker에 심각한 구현 결함이 있어, 피해자들이 파일을 무료로 복호화할 수 있는 가능성이 있다.
- CyberVolk는 인도 기반의 프로-러시아 해킹 집단으로, 러시아를 반대하거나 우크라이나를 지지하는 공공 및 정부 기관에 대한 분산 서비스 거부 및 랜섬웨어 공격을 시작했다.
- VolkLocker의 특징 중 하나는 코드에 Golang 타이머 기능을 사용하는 것으로, 이 기능은 만료되거나 HTML 랜섬웨어 노트에 잘못된 키가 입력되면 사용자 폴더를 삭제하는 트리거 역할을 한다.
- VolkLocker는 AES-256을 GCM (Galois/Counter Mode) 암호화에 사용하며, 바이너리에 포함된 64자리 16진수 문자열에서 파생된 32비트 마스터 키를 사용한다.
- 문제는 VolkLocker가 피해자 시스템의 모든 파일을 암호화하는 데 동일한 마스터 키를 사용하고, 그 키가 %TEMP% 폴더의 평문 파일 (system_backup.key)에도 기록된다는 것이다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.