사이보그 랜섬웨어, 일반적인 살포식 공격 방법으로 퍼져...인당 500달러 요구

[이미지 = iclickart]

이 캠페인을 발견한 보안 업체 트러스트웨이브(Trustwave)는 “지금 전파되고 있는 파일의 확장자는 .jpg이지만 실제로는 실행파일”이라고 경고했다. 파일의 이름은 그 때 그 때 무작위로 바뀌는 것처럼 보이며, 파일 용량은 28kb 정도라고 한다. 닷넷(.NET)으로 만들어진 악성 다운로더로, 추가 멀웨어를 다시 한 번 다운로드 받는 기능을 가지고 있다.

“이 파일을 받은 사람이 파일을 클릭하면 마지막 페이로드가 깃허브(GitHub)로부터 다운로드 됩니다. 이름은 bitcoingenerator.exe이며, 깃허브의 btcgenerator라는 리포지터리에 저장되어 있는 것으로 나타났습니다. 하지만 실제로는 사이보그 랜섬웨어의 페이로드 입니다.” 트러스트웨이브가 발견한 랜섬웨어 샘플의 경우, 피해자들에게 요구하는 금액이 약 500달러 정도 되는 수준이었다.

이 bitcoingenerator.exe의 진짜 이름은 syborg1finf.exe다. 사이보그 랜섬웨어는 처음 발견된 건 아니지만 그렇다고 대단히 유명한 종류도 아니다. “바이러스토탈(VirusTotal)을 통해 검색해보니, syborg1finf.exe라는 이름으로 된 사이보그 샘플이 세 개 등록되어 있었습니다. 하지만 파일을 암호화 한 후 붙이는 확장자 명은 세 개가 전부 달랐습니다.”

그 말은 누군가 마음먹고 이 랜섬웨어를 계속해서 개조시키고 있다는 뜻이라고 트러스트웨이브는 풀이한다. “빌더가 존재한다는 뜻입니다. 그래서 웹을 검색했더니 정말로 ‘사이보그 빌더 랜섬웨어 1.0 버전 프리뷰’라는 유튜브 영상이 있더군요. 영상에는 링크가 하나 걸려 있었고, 좇아가 보니 사이보그 랜섬웨어 빌더가 깃허브에 호스팅되어 있었습니다. 이번 캠페인에서 발견된 샘플과 흡사한 버전이었습니다.”

현재 랜섬웨어 시장은 두 가지로 나뉘고 있다. 제법 크고 돈이 많은 조직을 겨냥해서 노리는 표적 공격형 랜섬웨어와, 일반 소비자 다수를 대상으로 살포되는 랜섬웨어다. 이번에 발견된 캠페인의 경우 후자에 속한다. 최근 랜섬웨어 공격자들은 전자를 선호한다는 걸 생각해보면 이번 사이보그 랜섬웨어의 출현은 다소 의외라고 볼 수 있다.

또한 서비스형 멀웨어가 해커들 사이에서 크게 유행하고 있다는 것도 다시 한 번 드러났다. “물론 사이보그가 서비스형 랜섬웨어로서 공격자들 사이에 배포되고 있다는 증거는 아직 나오지 않았습니다. 다만 깃허브에 호스팅 되어 있어 누구나 사용할 수 있도록 되어 있다는 것에서 서비스형 멀웨어의 느낌이 물씬 풍깁니다. 공격자 입장에서 배포 전략만 준비하면 사이보그를 언제고 사용할 수 있게 되어 있거든요.”

사이보그는 바이러스토탈에 겨우 세 개의 샘플만 등록되었을 정도로 비교적 새롭게 출현한 편에 속하는 랜섬웨어다. 구글에 검색을 해봐도 제대로 된 정보가 나오지 않는다는 걸 알 수 있다. 랜섬웨어 복호화 키를 무료로 제공하는 노모어랜섬(NoMoreRansom) 웹사이트에도 아직 복호화 도구가 언급되지 않고 있다. 수많은 랜섬웨어처럼 잠시 스쳐갔다가 사라지는 것이 될 수도 있고, 삼삼(SamSam)이나 갠드크랩(GandCrab)처럼 유명세를 떨칠 수도 있다. 빌더가 있을 가능성이 높은 것으로 보아, 후자가 될 가능성이 높다고 트러스트웨이브는 추측한다.

3줄 요약

1. MS에서 온 것처럼 위장된 가짜 최신 업데이트 파일.

2. 사실은 드로퍼 파일로, 깃허브에서 랜섬웨어 가져와 설치함.

3. 사이보그 랜섬웨어, 비교적 새로 나타난 멀웨어. 유행할 것인가 사라질 것인가? 

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=84641&page=1&mkind=1&kind=1]​