오픈소스 랜섬웨어 빌더 ‘Prince Ransomware’ 위협 분석 보고서

Prince Ransomware - An Automated Open-Source Ransomware Builder Freely Available on GitHub

Prince Ransomware - An Automated Open-Source Ransomware Builder Freely Available on GitHub

 

• 개요 및 사건 개요
  • Prince Ransomware는 GitHub에서 오픈소스로 배포되던 자동화 랜섬웨어 생성 도구
  • Go 언어로 작성되어 기술 숙련도가 낮은 공격자도 손쉽게 커스터마이징 가능
  • 최근 대만의 Mackay 기념병원에서 발생한 CrazyHunter 랜섬웨어 공격에 해당 도구가 활용됨
• Mackay 병원 공격 사례
  • 공격자들은 초기 감염을 위해 USB 디바이스를 활용, 물리적 접근 벡터를 사용
  • 네트워크 방어 체계를 파악한 뒤 횡적 이동을 통해 타이페이와 담수이(Tamsui) 지점의 600여 대 이상 시스템 감염
  • 환자정보 시스템 중단 등 병원 주요 업무 마비 발생
• Prince Ransomware 기술적 특성
  • 암호화 알고리즘
    • ChaCha20 대칭키 알고리즘 사용
    • ECIES (Elliptic Curve Integrated Encryption Scheme)로 키를 비대칭 암호화
  • 작동 방식
    • 각 파일마다 고유 키/Nonce를 생성하고 암호화된 키를 파일에 첨부
    • 드라이브 전체 탐색 후 블록리스트 제외 대상 파일 암호화
    • 파일 암호화 패턴: 1바이트 암호화 → 2바이트 평문 유지 반복
    • 랜섬노트 삽입 후 공격 종료
  • 자동화 빌더 특성
    • 다양한 설정 파일을 수정함으로써 Black(Prince), Wenda, UwU 등 변종 생성 가능
    • 기술력이 낮은 공격자도 Zero-to-Ransomware가 가능
• 공격에 사용된 주요 도구들 (bb2.zip 내부 구성)
  • CrazyHunter.exe: Prince Ransomware 빌더로 제작된 실제 암호화기
  • SharpGPOAbuse (gpo.exe): GPO(Group Policy Object) 권한 악용해 횡적 이동 수행
  • file.exe: 데이터 유출 및 특정 파일 삭제 모니터링 도구
  • zam64.sys (Zemana Anti-Logger 드라이버): BYOVD (Bring Your Own Vulnerable Driver) 기법으로 보안 솔루션 우회 및 종료
  • go.exe, go2.exe: 방어 회피 목적의 백신 종료 및 프로세스 관리 도구
• 보안 권고
  • USB 및 물리 매체 차단 정책 강화 필요
  • EPP/EDR 솔루션을 통한 랜섬웨어 초기 탐지 및 차단 체계 구축
  • 네트워크 분리 및 권한 최소화 정책 구현을 통한 횡적 이동 차단
  • 취약한 서명된 드라이버에 대한 취약 드라이버 차단 목록 (Blocklist) 관리 강화
  • 오픈소스 공격 도구에 대한 위협 인텔리전스 통합 및 행위 기반 탐지 기술 고도화
• 결론
  • Prince Ransomware는 오픈소스 악성코드 빌더가 실제 병원 피해 사례에 활용된 대표 사례
  • 기술력이 낮은 공격자도 고도화된 공격 수행이 가능한 사이버 범죄 민주화(democratization of cybercrime)가 현실화됨
  • 오픈소스 생태계의 순기능을 해치지 않으면서 악용 가능성에 대비하는 균형 있는 보안 전략 필요
  • 공공기관 및 의료시설 등 중요 기반시설에 대한 선제적 보안조치 강화 필요