세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
삼삼 랜섬웨어 공격자들, 한 달 만에 3억 원 넘게 벌었다
  |  입력 : 2018-01-24 11:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
시스코 탈로스 팀, 지갑주소 추적해본 결과 32만 달러 발견
무작위 살포식 공격...피해자들 중 파일 복구 위해 돈 낸 경우 많아


[보안뉴스 문가용 기자] 지난 한 달 동안 삼삼(SamSam) 랜섬웨어를 퍼트려온 공격자들이 32만 5천 달러의 수익을 올렸다고 시스코의 탈로스 팀이 알려왔다. 삼삼 랜섬웨어는 지난 달부터 여러 산업군을 무차별적으로 공격하기 시작했다. 대부분 ‘무작위 살포’식 공격이었는데 이 정도 수준의 수입을 거둔 건, 공격 효율이 좋다는 뜻이다.

[이미지 = iclickart]


삼삼의 공격이 대대적으로 알려진 건 1월 11일, 핸콕 헬스(Hancock Health)라는 병원을 공격하면서부터다. 핸콕 헬스는 결국 5만 5천 달러를 범인들에게 내고 시스템을 복구시켰다. 그 외에 아담스 메모리얼 병원(Adams Memorial Hospital)과 올스크립츠(Allscripts)라는 의료 기록 기술 기업도 삼삼 랜섬웨어에 당했다.

하지만 아직도 최초 감염 경로가 무엇인지 알 수가 없다고 보안 전문가들은 설명한다. 이전 버전의 삼삼은 네트워크 내에 있는 기기 한 대를 침입해 횡적으로 움직이며 퍼져갔다. 이에 대해서는 보안 업체 재벌린 네트웍스(Javelin Networks)가 작년 3월 보고서를 발표한 바 있다. 주로 “도메인 크리덴셜을 훔쳐서 호스트에 접근하고, 액티브 디렉토리를 통해 감시 활동을 하며 네트워크를 관찰하다가 횡적으로 움직여 본격적인 활동을 시작한다”고 기록되어 있다.

2016년 삼삼은 취약한 제이보스(JBoss) 호스트들을 집중적으로 공략한 바 있다. 시스코 탈로스 팀은 최근 다시 나타난 삼삼도 비슷하게 침해된 RDP/VNC 서버들을 공격해 최초 침투를 이뤄내는 것으로 의심하고 있다.

이전 버전에 비해 현재 버전은 난독화 처리된 문자열을 가지고 있으며 분석 방지 기술까지 덧입었다. 또한 로더를 사용해 랜섬웨어 페이로드를 복호화하고 실행시키는데, 이러한 배포 전략은 2017년 10월부터 시작된 것이라고 한다. 로더는 .NET 어셈블리로, 난독화 처리가 되어 있지 않고, 실행될 디렉토리에서 .stubbin이라는 확장자를 가진 파일을 검색한다. .stubin 파일은 삼삼의 암호화된 페이로드가 담긴 파일명이다.

대칭형 암호화 키가 사용되고 있는데, 이는 파일마다 무작위로 생성된다. 또한 페이로드가 분석되는 것을 필사적으로 막기 위해 애를 쓴 흔적도 발견됐다. “난독화 기술이 적용된 것은 물론 로더에 비밀번호를 입력해야만 페이로드가 실행됩니다.”

페이로드 내에는 비트코인 지갑주소가 하드코드 되어있다. 공공 키는 .keyxml이라는 확장자를 가진 외부 파일 내에 저장돼 있다. 지갑을 분석해본 결과 다양한 피해자들이 이 지갑으로 돈을 송금한 것이 밝혀졌다. 시스코 탈로스 팀은 “아직 드러나지 않은 다른 비트코인 지갑이 있을 수도 있다”며 계속해서 조사를 진행 중이라고 밝혔다.

이 지갑에는 약 30.4 비트코인이 입금되어 있었다. 32만 달러가 넘는 금액이다. 2015~2016년 동안 삼삼 랜섬웨어 공격자들은 45만 달러를 벌어들인 바 있다.

시스코 탈로스 팀은 “삼삼 랜섬웨어가 볼륨 셰도우 복사본(Volume Shadow Copy)을 삭제하지 않는다는 점에 분석 초점을 맞추고 있다”고 한다. “어쩌면 이 부분에서 암호화된 파일을 복구할 가능성을 발견할 수도 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)