국내 피해 사례 등장, NightSpire 랜섬웨어 주의보
NightSpire는 DLS (Dedicated Leak Sites)를 운영하며, 피해 조직의 정보와 데이터 공개 카운트다운 타이머를 함께 게시한다. 사이버 협박을 위해 매우 위협적인 언어를 사용하는 것이 특징이다. 본 게시글에서는 NightSpire 랜섬웨어에 대한 분석 내용과 특징을 서술한다.
1.개요
1.1 NightSpire 공격그룹
[그림 1] NightSpire Team 로고
NightSpire는 2025년 2월부터 활동을 시작한 랜섬웨어 그룹이다. 이 그룹은 매우 공격적인 전략과 전문화된 인프라를 갖추고 있는 것으로 추정되며, 이는 기존의 RaaS (Ransomware-as-a-Service) 운영 방식과 유사하다.
NightSpire는 DLS (Dedicated Leak Sites)를 운영하며, 피해 조직의 정보와 데이터 공개 카운트다운 타이머를 함께 게시한다. 사이버 협박을 위해 매우 위협적인 언어를 사용하는 것이 특징이며, 피해자와의 협상 목적으로 ProtonMail, OnionMail, Telegram 채널 등 다양한 통신 채널을 제공한다. 이들은 기업의 취약점을 공격하여 침투한다고 주장하고 있다.
현재까지 NightSpire의 피해 기업들은 여러 국가와 산업군에 걸쳐 있다. 미국의 소매 및 도매업, 일본의 화학 산업과 제조업, 태국의 해양 산업, 영국의 회계 서비스, 중국의 대기업, 폴란드의 제조업, 홍콩의 비즈니스 서비스 및 건설업, 그리고 대만(타이완)의 기술 및 금융 서비스 분야의 기업들이 공격을 받았다.
NightSpire는 이중 갈취 전략을 사용하여 피해자들에게 압박을 가하고 있다. 이들은 데이터를 암호화하고 유출하여 몸값을 요구하며, 지불하지 않을 경우 데이터를 공개하겠다고 위협한다. 현재로서는 이 그룹이 완전히 새로운 그룹인지, 아니면 기존 그룹의 리브랜딩인지는 아직 명확하지 않다.
2.분석 내용
2.1 요약 정리
|
구분 |
내용 |
|---|---|
| 암호화 대상 | os_Stat() 함수 호출 시 정상적으로 접근 가능한 모든 파일 및 디렉터리. |
| 암호화 방식 | 전체 암호화 / 블록 암호화 |
| 랜섬노트 생성 | 암호화를 수행한 폴더 전체 |
| 바탕화면 변경 | 변경 안함 |
| 암호화 확장자 | .nspire |
| 볼륨 섀도우 삭제 | 없음 |
[표 1] 시스템 조작을 위해 사용되는 명령
2.2 암호화 루틴
NightSpire 랜섬웨어는 파일을 암호화할 때 [표 2] 와 같이 확장자를 블록 암호화 또는 전체 암호화 방식을 구분하여 사용한다., 랜섬웨어가 블록 암호화를 선택하는 이유는 주로 성능(속도)과 효율성 때문이다.
|
암호화 대상 확장자 |
암호화 방식 |
|---|---|
| iso, vhdx, vmdk, zip, vib, bak, mdf, flt, ldf | 블록 암호화(1MB) |
| 이외 확장자 | 전체 암호화 |
[표 2] 시스템 조작을 위해 사용되는 명령
NightSpire 랜섬웨어는 앞선 [그림 4]의 하단부 코드와 같이 iso, vhdx, vmdk, zip, vib, bak, mdf, flt, ldf 확장자를 대상으로 1MB 단위의 블록 암호화(main_EncryptFilev2) 를 수행하고, 이외 확장자에 대해서는 전체 암호화(main_EncryptFilev1) 방식을 사용한다. 즉, 대용량 파일이나 이미지/가상 디스크 파일 등 특정 확장자는 암호화 속도를 위해 블록 암호화하고, 일반 파일을 대상으로 전체를 암호화하는 전략을 사용한다.
2.3 암호화 확장자
[그림 2]는 NightSpire 랜섬웨어에 감염된 폴더의 모습이다. 암호화된 파일과 랜섬노트(readme.txt)를 확인할 수 있다. 암호화된 파일들은 확장자가 “.nspire” 로 변경된다.
[그림 2] NightSpire 랜섬웨어에 감염된 폴더
2.4 암호화 파일 구조
[그림 3]는 NightSpire 랜섬웨어에 감염된 파일의 구조이다. 암호화된 파일 뒷부분에 파일 암호화에 사용된 AES 대칭키가 RSA 공개키로 암호화되어 삽입된 구조이다.
[그림 3] 암호화 파일 구조
안랩 대응 현황
안랩 제품군의 진단명과 엔진 날짜 정보는 다음과 같다.
V3
Ransomware/Win.Nightspire.C5769860 (2025.06.12.02)
Ransomware/Win.Nightspire.C5775165 (2025.07.01.03)
Ransom/MDP.Decoy.M1171 (2016.07.15.02)
Ransom/MDP.Event.M1946 (2018.06.06.00)
Ransom/MDP.Event.M4353 (2022.07.05.00)
EDR
Ransom/EDR.Decoy.M2470 (2022.09.30.00)
Ransom/MDP.Event.M1946 (2018.09.07.03)
[1] https://atip.ahnlab.com/intelligence/view?id=158310d4-0325-4817-a7f1-3f27f0251b4a
[2] https://atip.ahnlab.com/intelligence/view?id=14929925-d74d-4b80-8fca-9f1cd82579ce
