Resources

Tracking SugarLocker ransomware & operator

Date 2022. 02. 17

Executive Summary
SugarLocker 랜섬웨어를 운영하는 유저명 “gustavedore”는 2021 년 11 월부터 RaaS  방식으로 활동을 시작하였으며, 랜섬웨어 위주의 다크웹 포럼인 RAMP 에서 파트너를 모집하고 있습니다.
RAMP 포럼에 작성한 파트너 모집 글에는 아래와 같은 내용을 소개하고 있습니다.

• 현재 팀은 주로 네트워크와 RDP 를 통해 공격을 시도함

• 바로 활동을 시작할 수 있는 사람만 모집

• 발트 3 국과 폴란드를 제외한 어떠한 CIS 국가들에 대한 공격 금지

• 아래와 같은 수입 분배 구조 주장

- 최초 : 70%(파트너)/30%(SugarLocker 그룹)

- 5 개 기업 공격 성공 이후 : 75%/25%

- 1 주일 수집 20 만 달러 이상 : 80%/20%

- 1 주일 수집 100 만 달러 이상 : 85%/15%

- 1 주일 수집 500 만 달러 이상 : 90%/10%

SugarLocker 랜섬웨어는 Delphi 로 작성되었으며, 아래와 같은 기능이 존재합니다.

• 3 개의 실행 옵션 지원

• Custom encoding 및 encryption 알고리즘으로 데이터 난독화

• 옵션에 따라 다른 설정정보를 갖는 RaaS 의 특징을 지님

• 속도 별로 3 가지 파일 암호화 알고리즘 제공 (SCOP, RC6, Salsa20)

• 2 가지 파일 암호화 키 암호화 알고리즘 제공 (RSA, ElGamal)

• 외부 URL 로부터 Tor 브라우저 다운로드 및 바로가기 파일 생성

운영자는 최소 2021 년 초 부터 SugarLocker 랜섬웨어를 제작해온 것으로 추정됩니다. 작년 하반기 이후 부터 랜섬웨어를 유포하고 있는 것으로 추정되나, 현재까지 별도의 leak 사이트를 운영하고 있는 점이 확인되지 않았고, 피해사례도 공개된 바가 없는 것으로 보아 아직 활발하게 활동을 하지 않는 것으로 추정됩니다.
다만, 랜섬웨어 기능이 지속적으로 업데이트 되고 있다는 점, 이미 파트너 구인 글을 게시한 점, 파일 암호화를 수행하는 데에는 문제가 없다는 점 등에서 파트너가 성공적으로 모집되면 활발하게 활동이 가능하기 때문에 미리 대응할 수 있어야 합니다.