Trigona 리브랜딩 의혹과 글로벌 위협 확산, BlackNevas 랜섬웨어 분석
BlackNevas는 대한민국을 포함하여 전세계 다양한 국가와 산업의 기업들을 대상으로 지속적인 랜섬웨어 공격을 가하고 있다. 본 게시글에서는 BlackNevas 랜섬웨어의 특징과 임호화 방식, 그리고 실제 복호화가 불가능한 이유에 대해 기술적으로 분석함으로써, 향후 유사한 위협에 대비하기 위한 인사이트를 제공하고자 한다.
1. 개요
1.1. BlackNevas
BlackNevas 랜섬웨어 그룹은 2024년 11월 처음 등장했으며, 아시아 및 북미 와 유럽의 다양한 기업 및 중요 인프라 조직을 지속적으로 공격하고 있다. 다른 랜섬웨어 갱단과 같이 감염된 시스템의 파일을 암호화하고 피해 기업의 민감 데이터를 탈취하며, 몸값이 지불되지 않는 경우 이를 공개한다. 글로벌 다지역에 걸쳐 분포하며, 특히 아시아-태평양 지역(50%)에 집중된 타겟팅 패턴을 보인다. 일본, 태국, 한국 등 동남아시아와 동아시아 국가들이 주요 표적이며, 유럽 지역에서는 영국, 이탈리아, 리투아니아 등 서유럽과 발트해 연안국들이, 북미에서는 미국 코네티컷주 등이 공격 대상으로 확인되었다.
BlackNevas 랜섬웨어는 RaaS(Ransomware-as-a-Service) 모델은 공식적으로 운영하지 않으며, 피해자 데이터 유출과 관련해서는 자체 데이터 유출 사이트(DLS)와 제휴를 맺은 파트너사에게 넘겨 공개한다고 피해자를 협박한다. 파일 암호화시 AES(대칭키)와 RSA (공개키)를 조합하여 수행하며 감염된 파일에는 “.-encrypted” 확장자가 추가된다.
BlackNevas 랜섬웨어 그룹이 유포하는 랜섬웨어는 파일 암호화 작업 이후 별도의 네트워크 통신 행위가 발생하지 않는다. 암호화된 데이터를 복호화 하기위해서는 이메일 또는 텔래그램 메신저로 연락을 하라고 랜섬노트에 기재되어 있다.
[그림 1] 랜섬노트 내에 존재하는 공격자 텔래그램 주소
2. 분석내용
2.1. 초기루틴
BlackNevas 랜섬웨어는 분석 방해를 목적으로 하는 Anti-Debugging 기법이나 Anti-Sandbox 회피 기능을 포함하지 않았다. 대신 여러 개의 인자 값을 지원하며, 해당 인자 값의 세부 내용은 아래 [표 1]과 같다.
|
인자 값 |
행위 |
|---|---|
|
/allow_system |
시스템 경로도 암호화 |
|
/fast |
파일 전체크기의 1%만 암호화 |
|
/full |
파일 전체 암호화 |
|
/path |
암호화 경로를 지정 |
|
/debug |
암호화 시 실행 로그 출력 |
|
/stealth |
암호화 시 확장자 변경 및 랜섬노트 생성 X |
|
/shdwn |
파일 암호화 완료 이후 시스템 종료 |
[표 1] 인자 값 별 행위
[표 1]에서 확인할 수 있듯 BlackNevas 랜섬웨어는 “/debug” 인자를 통해 실행 기록을 출력하며, 이 과정에서 랜섬웨어의 버전 정보도 함께 노출된다. 또한 “/fast” 및 “/full” 인자를 지정하지 않을 경우, 파일 암호화 시 전체 크기의 10%만 파일의 첫 부분부터 암호화된다.
[그림 2] “/debug”인자를 통해 출력되는 버전 정보
2.2. 암호화 준비
BlackNevas 랜섬웨어는 암호화 과정에서 접근이 불가능한 경로나 “system32”, “windows” 문자열이 포함된 경로에 대해서는 암호화를 수행하지 않는다. 이외의 접근 가능한 모든 경로는 암호화 대상이 된다. 일반적으로 다른 랜섬웨어들이 사전에 정의된 암호화 제외 경로 리스트를 기반으로 동작하는 것과 달리, BlackNevas 랜섬웨어는 실행 시점에 경로 문자열을 조건부로 검사하여 암호화 제외 여부를 판단하는 특징을 가진다.
[그림 3] 암호화 제외 경로 확인 코드
주요 파일을 잘못 암호화하여 시스템이 손상되는 것을 방지하기 위해, 암호화에서 제외되는 확장자와 파일이 별도로 지정되어 있다. 암호화 제외 파일은 “NTUSER.DAT”와 랜섬노트인 “how_to_decrypt.txt”이며, 암호화 제외 확장자는 아래 [표 2]와 같다.
|
암호화 제외 파일 확장자 |
|---|
|
sys, dll, exe, log, bmp, vmem, vswp, vmxf, vmsd, scoreboard, nvram, vmss |
[표 2] 암호화 제외 파일 확장자
2.3. 파일 암호화
파일 암호화 시 파일명이 변경되는 유형은 두 가지가 있으며, “랜덤명.랜덤명.-encrypted” 유형과 “trial-recovery.랜덤명.랜덤명.-encrypted” 유형이 존재한다. 이 중 파일명에 “trial-recovery”가 포함되는 확장자는 아래 [표 3]과 같다. 이외의 경우에는 파일명이 “랜덤명.랜덤명.-encrypted” 형식으로 변경된다. 파일명에서 유추할 수 있듯, “trial-recovery”가 붙는 유형은 피해자에게 실제 복호화 가능 여부를 시범적으로 확인시켜주기 위해 일부 파일에 한해 접두사가 부여된 것으로 추정된다.
|
파일명에 “trial-recovery”를 사용하는 확장자 |
|---|
|
doc, docx, hwp, jpg, pdf, png, rtf, txt |
[표 3] 파일명에 “trial-recovery”를 사용하는 확장자
암호화 제외 경로, 파일, 확장자 확인이 완료되면 기존에 암호화된 파일인지 여부를 검사한 후 암호화를 수행한다. 일반적으로 대부분의 랜섬웨어는 암호화가 완료된 파일의 확장자를 예외 확장자로 지정하여 감염 여부를 판별하는 방식을 사용한다. 그러나 BlackNevas 랜섬웨어는 이러한 방식 대신 특정 데이터 값을 비교하여 파일의 암호화 여부를 확인한다.
아래 [그림 4]와 같이 암호화 이전 원본 파일의 끝 부분에서 8바이트 값을 확인(빨간색 음영)하여 “E” 유형인지 “R” 유형인지 구분한다. “E”는 일반적인 파일 암호화 이후 확장자가 변경된 유형을 의미하며, “R”은 “trial-recovery” 파일명으로 변경된 유형을 의미한다. 이후 암호화된 파일의 끝 부분에서도 동일하게 8바이트 값을 확인하는데, 이는 원본 파일 크기에 추가된 데이터의 크기를 나타낸다.
감염 여부 확인이 완료되면, 개요에서 언급한 바와 같이 AES 대칭키를 사용하여 파일을 암호화한다. 이후 생성된 AES 대칭키는 RSA 공개키로 암호화되어 파일 끝에 삽입된다. 따라서 로컬 환경에서는 해당 파일을 복호화할 수 있는 단서가 남아 있지 않는다.
[그림 4] 파일 암호화 이후 추가되는 데이터 구조
2.4. 랜섬노트
아래 [그림 5]는 BlackNevas 랜섬웨어를 감염시킨 화면이다. 바탕화면은 별도로 변경되지 않는 것을 확인할 수 있다.
[그림 5] 암호화 완료 후 바탕화면 변경 테스트 환경
랜섬노트는 “how_to_decrypt.txt”라는 이름으로 생성된다. 암호화 제외 폴더를 제외한 모든 폴더에 랜섬노트를 먼저 생성하는 방식이므로, 시스템에 존재하는 모든 폴더에 랜섬노트가 생성된다. 랜섬노트에는 공격자가 파일 암호화 및 산업 스파이 활동을 전문으로 수행한다고 주장하며, 7일 이내에 복호화 협상을 진행하지 않을 경우 파트너사에게 데이터를 유출하고 블로그에 게시하거나 경매에 부칠 수 있다는 협박성 메시지가 포함되어 있다.
[그림 6] 랜섬노트(how_to_decrypt.txt)
3. 결론
BlackNevas 랜섬웨어 그룹의 DLS를 통해 랜섬웨어 공격이 발생한 기업이 지속적으로 올라오고 있다. 해당 그룹은 글로벌 다지역에 걸쳐 분포하며, 특히 아시아-태평양 지역(50%)에 집중된 타겟팅 패턴을 보인다. 일본, 태국, 한국 등 동남아시아와 동아시아 국가들이 주요 표적이며, 유럽 지역에서는 영국, 이탈리아, 리투아니아 등 서유럽과 발트해 연안국들이, 북미에서는 미국 코네티컷주 등이 공격 대상으로 확인되었다. 본 보고서에서 서술한 바와 같이 해당 랜섬웨어는 AES 대칭키로 파일을 암호화 이후 RSA 공개키로 AES 대칭키를 암호화하기 때문에 RSA 알고리즘 자체가 파괴되지 않는 이상 복호화 가능성이 존재하지 않는다. 이에 따라 기업측에서는 주요 자산을 보호하고 안정적으로 운용하기 위해 다음과 같은 대응 가이드를 철저히 준수할 것을 권장한다.
4. 안랩 대응 현황
안랩 제품군의 진단명과 엔진 날짜 정보는 다음과 같다.
4.1. V3
Ransomware/Win.Trigona.R585545 (2025.08.09.00)
Ransom/MDP.Decoy.M1171 (2016.07.15.02)
4.2. EDR
Ransom/EDR.Decoy.M2470 (2022.09.30.00)
Ransom/EDR.Event.M11760 (2024.06.19.02)
