잘 나가는 랜섬웨어 셋, 배포 및 사업전략 바꾸다

입력 : 2016-07-28 11:08

록키는 악성 페이로드 직접 첨부해 보다 공격적으로 침투
페트야와 미샤, 랜섬웨어 공격 대행 서비스 시작

[보안뉴스 문가용] 악명을 떨치고 있는 랜섬웨어들 중 단연 탑을 달리고 있는 록키(Locky) 패밀리가 최근 배포 전략을 바꿨다는 소식이다. 요 몇 달 동안 록키는 이메일의 자바스크립트 첨부파일의 형태로 퍼져나가고 있었는데, 이 자바스크립트 파일에는 록키 바이너리가 아니라 다운로더가 들어있었다. 그런데 지난 주부터 이런 형태의 공격이 사라졌다.


보안 전문업체인 사이렌(CYREN)의 연구원들이 발견한 록키 랜섬웨어 이메일에는 다음과 같은 특징들이 있다. 1) 제목에는 인보이스(Invoice)라는 단어가 들어간다. 이는 꽤나 평범한 형태의 스팸 메일 제목이다. 2) 이전 캠페인에서 사용했던 파일이름과 포맷이 그대로 차용된 첨부파일을 가지고 있다. 이전 캠페인에서처럼 자바스크립트 파일이 포함된 zip 파일이다. 이 부분에서 물음표가 뜬다. 뭐가 달라졌다는 걸까?

“파일 용량이 달라졌습니다. 지난 캠페인 때 사용되었던 첨부파일(zip 파일)보다 무려 250KB나 더 큽니다. 이는 대형 배열 가변(array variable)이 따라붙기 때문인데요, 여기에 록키 랜섬웨어 바이너리가 암호화되어서 저장되어 있죠. 파일이 실행되기도 전에 이 바이너리는 복호화되어서 디스크에 저장됩니다.”

이런 식의 방법은 다른 종류의 랜섬웨어 공격에도 발견된 바 있기 때문에 록키가 용량이 큰 배열이 포함된 자바스크립트로 공격을 하는 것 자체가 놀라운 건 아니다. “하지만 여태까지 록키의 가장 주요한 공격 도구는 악성 매크로가 포함된 오피스 문서였어요. 또한 네커스(Necurs)라는 봇넷을 통해 대량 스팸을 살포할 수 있었고요. 자바스크립트를 아예 사용하지 않은 것도 아니지만 기껏해야 다운로더만 퍼트린 거였죠. 이렇게 대담하게 직접 바이너리를 퍼트리지는 않았습니다. 게다가 뉴클리어 익스플로잇 키트(Nuclear Exploit Kit)도 사용하더군요.”

이렇게 ‘대담하게’ 시스템에 침투한 록키 랜섬웨어는 파일들을 암호화하고, 그 과정이 끝나면 바탕화면을 협박문구로 바꿔놓는다. “결국 사용자들이 조심해야 할 부분을 강조하는 수밖에 없습니다. 출처가 불분명한 메일에서 첨부파일을 함부로 다운로드 받지 마세요. 백업도 꾸준히 받아 놓으시고요.”

공격 전략을 바꾼 건 록키만이 아니다. 페트야(Petya)와 미샤(Mischa)라는 랜섬웨어 패밀리들도 조금 방법을 틀었다. 이들이 선택한 건 RaaS(ransomware-as-a-service)라는 사업 모델로, 이는 간단히 말해 랜섬웨어 공격을 대행해주는 것이라고 설명이 가능한 것이다. 즉, 랜섬웨어 공격을 해보고 싶은데 기술력 등의 문제로 하지 못하는 범죄자 및 범죄 집단에게 자신의 랜섬웨어를 일정 가격에 빌려주는 것이다.

페트야는 지난 3월 발견된 랜섬웨어로 파일이 아니라 디스크 전체를 암호화 하는 것으로 등장하자마자 보안 커뮤니티의 관심을 받은 바 있다. 하지만 상세한 분석을 통해 페트야는 곧 무력화 되었다. 그러자 페트야 제작자들은 두 번째 페이로드를 탑재해 공격을 재개했는데, 그 페이로드가 바로 미샤다. 미샤는 다른 랜섬웨어들처럼 파일을 직접 암호화했다. 페트야가 실패하면 미샤가 활동을 시작하는 등 ‘2단계 공격’을 감행한 것으로, 이 ‘2단계 공격’에 감명을 받은 많은 해커들이 모방범죄를 일으키기도 했다.

하지만 페트야나 미샤의 치명적인 약점인 ‘약한 암호화 알고리즘’만은 변치 않았다. “하지만 이 치명적인 약점이 보완된 모양입니다. RaaS가 시작된 것을 보니 뭔가 단단히 준비를 한 듯 한 자신감이 느껴집니다.” 게다가 가격도 나쁘지 않은 편이라고 알려져 있다. “수익이 5비트코인 이하일 경우는 25%를 공격 요청자 혹은 의뢰인에게 주지만 125 비트코인 이상일 경우는 85%까지 가져갈 수 있습니다.” 이 때문에 의뢰가 꾸준히 늘어날 것이라고 전문가들은 보고 있다.

페트야의 제작자들은 이번 RaaS 런칭을 성공적으로 이끌기 위해 한 가지 ‘독한’ 수단을 더 마련했다. 키메라(Chimera)라는 랜섬웨어의 비밀키를 공개한 것. 예비 의뢰인들의 선택지를 좁힌 것이다. 멀웨어바이츠(Malwarebytes)의 전문가들은 “이 키가 진짜인지 아닌지 확인해보려면 시간이 필요하다”며 이를 섣불리 믿지 말 것을 권고했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  [한 주를 관통하는 보안 소식] 2024년 ...

• 5

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...