록키 랜섬웨어 집중포화...피해 신고건수만 벌써 300건

록키 랜섬웨어, 지난 15일부터 18일까지 집중포화...피해 신고건수만 300건
17일 러시아 해킹조직 드리덱스 봇넷 통해 유포
해외에서 발송된 메일 중 JS 확장명 첨부파일 실행 주의

[보안뉴스 김경애] 인터넷 상에 랜섬웨어 감염에 따른 피해가 눈덩이처럼 커지고 있다. 특히, 록키(Locky) 랜섬웨어의 집중포화가 심상치 않다. 록키 랜섬웨어는 지난 2월 6일 해외에서 토르 네트워크를 통해 처음 발견됐으며, 국내는 3월초부터 이메일을 통해 확산되고 있다.

▲복구 안내 페이지 화면(자료제공: 한국랜섬웨어침해대응센터)

한국랜섬웨어침해대응센터 측은 “지난 15일부터 18일까지 집중 유포된 것으로 파악됐으며, 현재 록키 감염 신고 건수는 300건에 달해 피해가 급증하고 있다”며 “인보이스(Invoice), 계약서(Contract for) 등의 이메일로 위장해 유포되고 있으며, 0.5 ~ 3비트코인을 요구한다”고 밝혔다.

이어 랜섬웨어침해대응센터 측은 “드라이브 바이 다운로드(Drive-By-Download)를 통한 배포보다는 주로 위장 이메일을 통해 배포되고 있다”며 “피해자의 비즈니스 정보를 메일 작성 시 함께 기록하고, 의심을 피해 클릭을 유도하는 등의 심리적 기법을 사용하는 것이 특징”이라고 밝혔다.

▲ 이메일 첨부파일로 위장한 록키 랜섬웨어 화면

최근에는 러시아의 해킹조직인 드리덱스(Dridex) 봇넷을 통해 대량의 스팸 메일로 뿌려지고 있으며, 국내에서도 지난 17일 새벽부터 록키 랜섬웨어가 첨부된 수많은 메일이 발견됐다.

메일의 첨부된 ZIP 압축 파일에는 5개의 JS 스크립트 파일이 포함됐으며, 첨부 파일을 클릭해 실행할 경우 록키 랜섬웨어에 감염될 수 있다.

이에 대해 보안전문 파워블로거 울지않는벌새는 “JS 스크립트 파일은 특정 서버에서 악성파일 다운로드 정보가 포함돼 있으며, 감염 과정에서 피해자가 러시아(Russia) IP로 확인될 경우 감염이 이루어지지 않도록 제작됐다”고 밝혔다.

▲자바스크립트 형태로 유포된 록키 랜섬웨어(자료제공: 한국랜섬웨어침해대응센터)

특히, 이번에 유포된 록키 랜섬웨어의 경우 존의 MS Word 매크로 기능을 사용하지 않고, JS 스크립트 파일을 이용하고 있는 것으로 알려졌다.

▲JS 스크립 파일이 실행되면 특정 서버에서 us.exe 악성 파일이 다온로드 된다.

JS 스크립 파일이 실행되면 특정 서버에서 us.exe 악성 파일(SHA-1 : fcdd52519f9151ad89582ce73bc0390a86c8414d - AhnLab V3 : Trojan/Win32.Dridex.C1351414)이 다운로드 될 수 있다.

us.exe 악성 파일은 ‘C:\Users\(로그인 계정명)\AppData\Local\Temp\leadingRelative.scr’ 화면 보호기 파일로 생성돼 메모리에 상주하며, 특정 IP 서버와 통신을 시도할 수 있다.

만약 일정 시간 통신이 이뤄지지 않거나 실행 환경에 따라서는 자동으로 자신을 삭제 처리해 더 이상 동작하지 않기도 한다. 정상적으로 동작한다면 문서, 사진, 동영상, 음악 등의 파일을 .locky 확장명으로 암호화하고 바탕화면 그림을 변경해 돈을 요구할 수 있다.

따라서 해외에서 발송되는 메일 중에서 첨부파일이 JS 확장명을 가진 파일은 절대 실행하지 않도록 각별히 주의해야 한다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)