Home > 전체기사
‘주체’ 단어 사용 해커, 야후에서 Tutanota로 갈아타 비트코인 요구
  |  입력 : 2017-11-01 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
juche001 야후 메일 계정 이용 해커, Tutanota.com 개정으로 갈아탄 정황 포착
매트릭스 랜섬웨어 감염자 대상으로 파일 복구 원하면 연락하라는 메일주소로 이용


[보안뉴스 김경애 기자] 매트릭스 랜섬웨어 감염자를 대상으로 암호화된 파일을 복호화하려면 juche001@yahoo.com로 메일을 보내라는 해커가 이번에는 juche001@Tutanota.com로 메일 계정을 갈아탔다. 이는 해커의 움직임이 활발한 만큼 매트릭스 랜섬웨어 감염 피해도 늘어난 것으로 예상되며, 이용자들의 랜섬웨어 감염에 각별한 주의가 필요하다.

[이미지=보안뉴스]


본지는 지난 10월 30일 암호화된 파일에 영문으로 주체(juche), 평양(pyongyang) 등의 단어가 포함된 매트릭스(Matrix) 랜섬웨어가 발견됐다며 주의를 당부한 바 있다.

당시 juche001 메일 계정을 사용하는 해커는 암호화된 파일을 볼모로 야후 메일 주소를 제시하며 사용자에게 복호화를 원하면 자신에게 메일을 보낼 것을 요구한 바 있다.

그런데 1일 juche001@yahoo 계정을 사용하는 해커가 이번엔 juche001@Tutanota.com로 메일 계정을 갈아탄 정황이 포착됐다. 이는 기존에 야후 계정에서 메일 서버만 Tutanota로 바꾼것으로 추적을 피하기 위함과 매트릭스 랜섬웨어 감염자에게 다른 메일주소를 알려 비트코인을 뜯어내기 위한 것으로 풀이된다.

이에 따라 1일 낮 1시 22분 기준으로 국내에서 감염되고 있는 랜섬웨어 순위를 살펴보면 1위는 마이랜섬(MyRansom) 랜섬웨어이며, 2위가 매트릭스(Matrix), 3위가 록키(Locky), 4위가 GlobeImposter, 5위가 케르베르(CERBER) 랜섬웨어로 집계됐다.

국내에서 가장 많이 감염되고 있는 마이랜섬 랜섬웨어는 이용자 PC의 취약점을 악용해 악성코드를 다운로드하는 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 통해 광고 사이트에 악성코드를 심어 유포하는 멀버타이징(Malvertising) 방식으로 유포된다.

특히, 한국어 윈도우 운영체제 환경에서만 동작하는 특성 때문에 파일 암호화 전 사용자의 PC가 한국어 환경인지 확인한 후, 암호화를 진행하고 더욱 피해가 우려된다. 게다가 암호화되는 파일의 확장자는 ‘hwp’ 문서를 비롯해 무려 800개 이상이라 국내 사용자 피해가 클 것으로 예상돼 주의가 필요하다.

이어 해커가 1일 뿌린 매트릭스 랜섬웨어는 웹사이트에 방문만 해도 감염되는 드라이브 바이 다운로드(Drive-by-Download) 방식으로 유포되고 있다. 유포 공격도구인 ‘선다운(Sundown)’ 익스플로잇킷(Exploit Kit)을 통해 피해를 확산되고 있으며, 매트릭스 랜섬웨어는 지난 5월과 7월에 이어 재등장해 피해를 양산시키고 있다.

세번째로 감염이 높은 록키 랜섬웨어는 지난 7월부터 꾸준히 발견되며 증가추세를 보이고 있는 랜섬웨어다. 특히 다양한 명령제어서버(C2)를 구축해 사용하고 있어 국내에서도 명령제어 서버로 악용될 가능성이 크다. 이는 지난 1일 DDE 취약점을 이용한 공격에 록키 랜섬웨어가 악용되는 이슈에서도 짐작할 수 있다.

네번째로 감염 피해가 높은 GlobeImposter 랜섬웨어는 지난 27일 발견됐으며, 주로 스팸 메일을 통해 유입되는 것으로 추정되고 있다. 또한 다양한 변종들이 지속적으로 등장하고 있어 감염피해에 긴장을 늦춰선 안 된다.

GlobeImposter 랜섬웨어에 감염되면 특정 경로의 파일들을 제외하고 확장자에 관계없이 모두 암호화시키는 것이 특징이다. 또한, 완벽한 암호화를 위해 현재 작성 중인 문서까지 타깃으로 하는 치밀함까지 보이고 있어 이 역시 주의가 필요하다.

다섯번째로 감염피해가 높은 케르베르 랜섬웨어는 지난 1분기 전 세계에 창궐한 랜섬웨어 중 확산속도가 가장 빨랐던 랜섬웨어로 피해 역시 봇물처럼 쏟아졌다. 이후 안랩 조사결과 3분기에만 66%로 절반이상을 차지하며, 많은 사용자들에게 피해를 입힌 것으로 조사됐다. 해당 랜섬웨어 감염 역시 긴장의 끈을 놓지 말아야 한다는 얘기다.

한편 국내에 각종 랜섬웨어가 대량으로 살포되면 될수록 비트코인 가치는 정비례하며 천정부지로 치솟고 있다. 1일 기준 1비트코인 가격은 740만원대로 수직 상승하며 고공행진 중이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)