기업 타겟 공격, Interlock 랜섬웨어
Interlock 랜섬웨어 그룹은 전세계 다양한 국가와 산업의 기업들을 대상으로 지속적인 랜섬웨어 공격을 가하고 있다. 본 게시글에서는 Interlock 랜섬웨어에 대한 분석 내용과 특징을 서술한다.
1 개요
1.1 Interlock Profiles
Interlock 랜섬웨어 그룹은 2024년 9월 말 처음 등장했으며, 북미와 유럽의 다양한 기업 및 중요 인프라 조직을 지속적으로 공격하고 있다. 다른 랜섬웨어 갱단과 같이 감염된 시스템의 파일을 암호화하고 피해 기업의 민감 데이터를 탈취하며, 몸값이 지불되지 않는 경우 이를 공개한다.
[그림 1] Interlock 랜섬웨어 그룹의 DLS 홈페이지(.onion)
1.2 Interlock 랜섬웨어 악성코드
Interlock 랜섬웨어는 파일을 암호화 할 때 AES-256-GCM(Galois/Counter Mode) 알고리즘이 사용되며, 대칭키와 초기값 IV는 RSA-4096 공개키를 이용해 암호화한 뒤 파일의 끝에 삽입된다. 이 공개키는 파일에 미리 포함되어 있어, 공격자가 해당 파일을 식별할 수만 있다면 개인키를 통해 복호화가 가능하다. 특히 이 암호화 과정은 OpenSSL 라이브러리를 기반으로 구현되어 있으며, 고성능 암호화 처리와 키 관리 기능을 통해 AES와 RSA 알고리즘을 효과적으로 결합하여 파일을 암호화한다. 이러한 구조는 암호화의 정교함과 효율성을 높이며, 피해자의 데이터 복구를 어렵게 만든다. 특징적으로, 파일 암호화 작업 이후 별도로 네트워크 통신 행위가 발생하지 않는다. 즉, 공격자는 로컬 환경에서 남은 흔적만으로는 복호화를 진행할 수 없도록 랜섬웨어 악성코드를 설계하였다.
랜섬노트에는 Tor 네트워크 기반의 협상 사이트 URL이 포함되어 있으며, 피해자는 해당 사이트에 접속해 공격자와 직접 협상을 진행하도록 유도된다. 또한 랜섬노트에는 GDPR, GLBA, HIPAA, CCPA, NYDFS 사이버 보안 규정, DPA 2018 등 주요 법률 위반 가능성을 경고하며, 네트워크 침해가 성공적으로 이루어졌다는 협박성 메시지를 통해 피해자에게 압박을 가한다.
2 분석 내용
2.1 초기 루틴
Interlock 랜섬웨어는 초기에 main 코드를 암호화하거나 난독화해 숨겨 두었다가 실행 시점에만 코드 패치를 수행하여 메모리에 풀어낸다. 실행 순간에만 랜섬웨어의 원본 코드가 메모리에 나타나므로 탐지를 피하면서도 정상적으로 동작할 수 있다. 즉, 초기 코드 패치는 랜섬웨어가 자신의 핵심 로직을 은폐하고 분석 지연 및 보안 회피를 노리는 방어 기법인 것으로 추측된다.
코드 패치가 완료된 후 실제 main 코드에서는 초기에 인자 값을 확인하고 인자 값이 존재하지 않을 시 모든 드라이브를 순회하며 암호화를 시도하고 symbolic link 접근 활성화 시도한다. symbolic link 활성화는 lnk 나 symbolic link로 연결된 파일에 접근하여 암호화하기 위함이다.
|
인자 값 |
행위 |
| -d <folder path> | folder를 지정하여 암호화 시도 |
| -f <file name> | 하나의 파일 만 암호화 시도 |
| -t | test 인자 값 |
| -e | 다수의 인자 값을 하나의 묶음으로 인식 |
| -s | 작업 스케줄러 생성 및 실행 (권한 상승) |
| -r | 강제 암호화 시도 |
| -del | 자가삭제 |
[표 1] 인자 값 별 행위
2.2 파일 암호화
암호화 주요 파일을 잘못 암호화하여 시스템이 파괴되는 것을 방지하기 위해 암호화에서 제외되는 폴더, 확장자, 파일을 설정한다. 목록은 하기 표 2, 3, 4와 같다.
암호화 제외 대상 확장자와 파일의 경우 “!NT3RLOCK”, “OPEN_BEFORE_ANYTHING.txt” 처럼 Interlock 랜섬웨어에서 사용하는 암호화 감염 확장자를 암호화 제외 대상으로 명시하여 이미 암호화된 파일을 재감염 시키는 것을 방지하고 피해자가 랜섬노트를 확인하여 협상을 진행할 수 있도록 랜섬노트명 또한 암호화 제외 대상으로 명시하였다.
|
암호화 제외 대상 폴더 |
| $Recycle.Bin / $RECYCLE.BIN |
| Boot |
| Documents and Settings |
| PerfLogs |
| ProgramData |
| Recovery |
| System Volume Information |
| Windows |
| $RECYCLE.BIN |
| AppData |
| WindowsApps |
| Windows Defender |
| WindowsPowerShell |
| Windows Defender Advanced Threat Protection |
[표 2] 암호화 제외 대상 폴더
|
암호화 제외 대상 확장자 |
| bat, bin, cab, cmd, com, cur, diagcab, diagcfg, diagpkg, drv, hlp, hta, msi, ocx, psm1, scr, sys, ini, url, dll, exe, ps1, !NT3RLOCK |
[표 3] 암호화 제외 대상 확장자
|
암호화 제외 대상 파일 |
|
Thumbs.db, OPEN_BEFORE_ANYTHING.txt |
[표 4] 암호화 제외 대상 파일
파일 암호화시 미리 정의된 암호화 감염 확장자(“.!NT3RLOCK”)로 파일 명을 변경하며, 변경에 실패 시 초기 루틴에서 확인한 인자 값 중 “-r” 인자 값이 존재하면 암호화 대상 프로세스를 종료하는 행위를 수행하고 파일 명 변경, 파일 암호화를 수행하게 된다. “-r” 인자 값이 존재하지 않으면 파일 명 변경 실패 시 파일 암호화를 수행하지 않는다.
[그림 2] 파일 암호화 로직
암호화에 사용될 AES의 KEY 값과 초기값 IV는 난수 값으로 생성되며, RSA 공개키를 활용해 암호화한 뒤 파일의 끝에 삽입된다.
[그림 3] AES의 KEY 값과 초기값 IV 생성
앞서 말한 방식으로 암호화된 파일의 구조를 확인해 보면 로컬 환경에서는 해당 파일을 복호화 할 수 있을 만한 단서가 남아있지 않는 것을 확인할 수 있다.
[그림 4] 암호화된 파일의 구조
대부분의 랜섬웨어는 Windows에서 기본 제공하는 암호화 기능을 활용하지만, Interlock 랜섬웨어는 암호화 과정에서 OpenSSL 라이브러리를 기반으로 구현된 방식이 사용된다. 이 라이브러리는 강력한 암호화 성능과 키 관리 기능을 갖추고 있어, AES와 RSA 알고리즘을 효율적으로 결합해 파일을 암호화할 수 있도록 한다.
사용자는 랜섬웨어에 대비해 중요 데이터를 서비스망과 분리된 오프사이트에 백업하고, 백업 저장소에 대한 접근 통제 및 정기적인 복구 훈련을 수행해야 한다. 단순한 백업을 넘어, 백업 시스템 자체의 보안성과 복구 가능성을 확보하는 전략적 대응이 필수적이다.
[그림 5] OpenSSL 라이브러리 기반으로 동작하는 AES 암호화 로직
3 안랩 대응 현황
안랩 제품군의 진단명과 엔진 날짜 정보는 다음과 같다.
3.1 V3 진단
Ransomware/Win.INTERLOCK.C5753860 (2025.04.18.00)
Ransomware/Win.INTERLOCK.C5683684 (2024.10.17.02)
Ransomware/Win.INTERLOCK.C5759348 (2025.05.06.03)
Ransomware/Win.INTERLOCK.C5759346 (2025.05.06.03)
Ransomware/Win.INTERLOCK.C5746586 (2025.03.30.03)
Ransomware/Win.INTERLOCK.C5683684 (2024.10.17.02)
Ransom/MDP.Event.M1785 (2017.11.22.00)
Ransom/MDP.Decoy.M1171 (2016.07.15.02)
Ransom/MDP.Event.M1946 (2018.06.06.00)
3.2 EDR 진단
Ransom/MDP.Event.M1946 (2018.09.07.03)
Ransom/EDR.Decoy.M2470 (2022.09.30.00)
