모방을 통해 브랜드 효과를 노린 Kawa4096 랜섬웨어
2025년 6월, 새로운 랜섬웨어 그룹 Kawa4096이 등장했다. 일본과 미국을 포함한 다국적 조직을 표적으로 삼고 있으며, 공격 대상은 금융/교육/서비스 등으로 특정 산업군에 국한되지 않는다. 아직까지 RaaS(Ransomware-as-a-Service) 운영 여부 혹은 다른 그룹과의 협력 관계에 대해서는 공개적으로 확인된 내용이 없으나, 상대적으로 짧은 기간동안 여러 국가의 조직을 공격하여 주목받고 있다.
1. 개요
Kawa4096 공격그룹의 운영 방식과 특징을 살펴보면, Tor 기반의 데이터 유출 사이트를 운영하며 피해자 정보를 공개하고 있다. 공격 후 데이터를 탈취하여 암호화하는 이중 갈취(Double Extortion) 방식을 사용하는 것으로 보인다. 또한, 각 피해자에 대해 전용 클레임 URL을 제공하여 데이터 접근을 관리하고 있는데, 이는 조직적이고 체계적인 운영 구조를 시사한다. 몸값 요구 금액의 범위나 협상 방식에 대한 구체적인 정보는 아직 공개된 바가 없다.
[Fig] Kawa4096 랜섬웨어의 데이터 유출 사이트
2. 분석내용
2.1 초기 루틴
Kawa4095 랜섬웨어는, 실행 시 인자가 없으면 스스로 -all 인자를 붙여서 재실행하는 것이 주목할만한 특징이다. -all 인자를 붙여서 재실행할 경우, 기본적인 암호화 대상 파일들에 대해 전체 암호화 과정이 수행된다.
[Fig] Kawa4096 랜섬웨어의 실행 옵션
암호화 옵션 별 행위는 다음과 같다.
- -d=<directory> : 지정된 디렉토리에 대해 암호화 수행
- -all : 모든 암호화 대상 파일에 대한 암호화 수행
- -dump : MiniDumpWriteDump API를 사용하여, 랜섬웨어를 실행한 폴더에 크래쉬 정보를 포함하는 “.dmp” 파일 생성
또한, Kawa4096 랜섬웨어는 중복 실행을 막기 위해 ‘SAY_HI_2025’ 이름을 갖는 뮤텍스(Mutex)를 생성한다. 동일한 호스트에서 랜섬웨어가 두 번 이상 실행될 경우, 서로 같은 파일을 암호화하면서 충돌 혹은 속도 저하가 발생할 것을 우려한 것이다. CreateMutexA API를 사용하여 고유한 이름(SAY_HI_2025)의 Mutex를 생성하고, 이미 있을 경우에는 랜섬웨어 프로세스를 바로 종료하여 한 번만 실행되도록 한다.
[Fig] ‘SAY_HI_2025’ 뮤텍스 코드
이어, 실행 파일 내부의 리소스 섹션에 존재하는 설정을 LoadResource / FindResourceW 와 같은 API로 읽어들여 동작을 결정한다. 설정에는 암호화 제외(exts/dirs/files), 지정 암호화 디렉토리, 종료할 프로세스 및 서비스 목록, 등 다수의 필드가 포함되어 있다. 이에 관한 내용은 다음 ‘암호화 준비’ 챕터에서 보다 상세하게 설명하고자 한다.
2.2 암호화 준비
본문에서 분석한 랜섬웨어 리소스 섹션의 설정 값에는 17개의 필드가 확인되며, 여기에서는 5개의 항목만 기술한다. 각 필드 별 상세한 설명은 분석 보고서 본문을 통해 확인할 수 있다.
| XML 요소 (XML Element) | 설명 및 예시 |
| skip_exts value |
암호화 제외 규칙 – 확장자 제외 목록 나열된 확장자 파일은 암호화 대상에서 제외한다. 실행, 드라이버, 시스템, 바로가기 등의 시스템 안정성과 접근성 유지를 위한 목적이다.
.ani; .cab; .dll; .ico; .lnk; .scr; .sys; .exe; .bat; .cmd 외 다수 |
| skip_dirs value |
암호화 제외 규칙 – 암호화 디렉터리 제외 목록 나열된 디렉터리는 재귀 탐색 시 스킵한다. 암호화는 하되, OS/애플리케이션 자체 파괴는 피하고, 협상 가능한 상태를 보존하기 위함이다.
All Users; PerfLogs; Program Files (x86); Program Files; 외 다수 |
| skip_files value |
암호화 제외 규칙 – 암호화 파일명 제외 목록 특정 정확한 파일명은 암호화에서 제외한다. 사용자 프로필, 부팅, 자동실행 등 핵심 파일을 보호하여 부팅이 불능해지는 시나리오는 회피하고자 한 것으로 판단된다.
boot.ini; desktop.ini; bootmgr; thumbs.db; autorun.inf 외 다수 |
| specify_dirs enable 여부, value |
암호화 대상 범위 제한 지정 디렉터리만 암호화하도록 제한하는 옵션이다. enable = “0” 의 옵션은 비활성화하는 것이며, 즉 전역(로컬/네트워크) 탐색을 수행하게 된다. value 에 입력된 값 자체는 SQL Server 경로로 DB 데이터를 겨냥한 가능성을 나타내지만, 현재는 enable = “0” 의 옵션으로 미사용하는 상태가 된다.
<specify_dirs enable=”0″ value=”C:\\Program Files (x86)\\Microsoft SQL Server;C:\\Program Files\\Microsoft SQL Server;” /> |
| kill_process value |
프로세스 사전 정리 단계 – 프로세스 종료 목록 파일 잠금 해제, 백업 중단, 감시/복구 방해를 목적으로 종료한다.
sqlservr.exe; excel.exe; firefox.exe; notepad.exe; outlook.exe; powerpnt.exe; winword.exe; wordpad.exe; 외 다수 |
[Table] 랜섬웨어의 리소스 섹션에 존재하는 설정 값 & 설명 (일부)
2.3 파일 암호화
Kawa4096 랜섬웨어는, 실행 과정에서 설정에 맞는 확장자/디렉터리를 선별하고 시스템파일과 핵심적인 파일은 암호화 대상에서 제외한다. 또한, 부분 암호화 옵션 방식을 채택하였다. 설정 파일에서 <partial value=”25” /> 로 확인할 수 있는 이 옵션은, 각 파일을 전부가 아니라 일부만 암호화하여 암호화 속도와 효율을 크게 올리기 위한 목적이다. 파일의 사이즈가 클 경우, 100% 암호화하게 되면 시간이 오래 걸릴 수밖에 없다. 따라서, 파일의 일부만 암호화하여 짧은 시간에 최대한 많은 파일을 암호화하고자 하는 의도인 것이다. 또한, 문서/DB/압축 파일과 같은 파일은, 헤더/색인과 같이 일부만 깨져도 사실상 파일 자체가 열리지 않거나 실행이 불가하므로 온전히 암호화하지 않더라도 의도하고자 했던 시스템 손상이 가능해진다.
Kawa4096 랜섬웨어에서는 청크(chunk) 단위로 암호화하는 로직이 확인되었다. 예를 들어, 파일을 64KB(=0x10000)의 청크로 나눈 뒤, 청크 개수의 25%만 골라서 암호화하는 것이다. 일반적으로 파일의 사이즈가 10MB 보다 클 경우 부분 암호화를 강하게 적용하고, 10MB 보다 작은 파일일 경우에는 전체 또는 약한 부분 암호화로 처리하는 패턴이 흔하다. 청크 수가 결정되면 Salsa20 스트림 암호를 사용하여 암호화를 수행하며, 암호화된 파일은 <원본 파일명>.<확장자>.<9자의 무작위 영문과 숫자의 조합> 형식의 확장자를 가진다. 정확히 어떤 방식을 쓰는지는 공개된 악성코드의 샘플마다 다를 수 있음을 밝혀둔다.
2.4 랜섬노트
Kawa4096 랜섬웨어의 랜섬노트는 Qilin 랜섬웨어의 랜섬노트와 높은 유사성을 갖는다. 내용과 형식이 Qilin 랜섬노트와 거의 동일한 것인데, 공격 사실을 고지하고, 데이터 유출과 공개 위협(이중 협박), 복호화/협상 연락처 안내 내용이 작성되어 있다.
!!Restore-My-file-Kavva.txt 파일명의 랜섬노트가 각 암호화 폴더와 시스템 루트에 생성된다. 연락 채널로는 Tor 브라우저 기반의 onion 사이트 주소와 QTOX ID가 포함되어 있어서 피해자가 협상/지불을 시도하도록 유도한다. 또한, 랜섬노트에서 탈취한 데이터 종류(고객정보/직원정보/재무자료 등)를 열거하거나, 피해 사실을 공개하겠다는 협박을 통해 몸값 압박을 가하는데, 실제로 보고서 본문의 8p에서 확인되는 바와 같이 고객의 정보를 공개한 사례가 확인된다.
[Fig] Kawa4096 랜섬웨어의 랜섬노트
2.5 백업 데이터 삭제
Kawa4096 랜섬웨어는, WMI의 Win32_Process:Create로 프로세스 실행을 트리거하여 볼륨 섀도우 복사본 관련 명령을 실행한다. 이 과정에서 사용되는 명령어는 다음과 같다.
- vssadmin.exe Delete Shadows /all /quiet : 모든 섀도우 복사본 삭제
- wmic shadowcopy delete /nointerface : WMIC를 통한 섀도우 복사본 일괄 삭제
[Fig] Kawa4096 랜섬웨어의 볼륨 섀도우 복사본 삭제 코드
이는, 백업 복구 수단을 완전히 무력화하여 피해자가 복구하고자 하는 시도를 차단하고자 한 것으로 판단된다.
3. 안랩 대응 현황
안랩 제품군의 진단명과 엔진 날짜 정보는 다음과 같다.
3.1 V3 진단
Ransomware/Win.KawaCrypt.C5774792 (2025.07.02.02)
Ransomware/Win.KawaCrypt.C5783637 (2025.07.30.03)
Ransomware/Win.KawaLocker.C5791069 (2025.08.22.02)
Ransom/MDP.Command.M1026 (2016.04.08.03)
Ransom/MDP.Decoy.M1171 (2016.07.15.02)
Ransom/MDP.Event.M1785 (2017.11.28.00)
3.2 EDR 진단
Suspicious/MDP.Behavior.M1961 (2018.11.06.02)
SystemManipulation/EDR.Event.M2592 (2022.03.31.00)
SystemManipulation/EDR.Event.M2486 (2022.07.09.00)
Ransom/EDR.Decoy.M2470 (2022.09.30.00)
Ransom/DETECT.T1486.M11751 (2024.06.04.02)
