좀처럼 사그러들지 않는 갠드크랩, 주말동안 ‘활개’

갠드크랩 랜섬웨어, 주말 동안 기승...저작권 위반과 입사지원 사칭해 유포

[보안뉴스 김경애 기자] 갠드크랩(GandCrab) 랜섬웨어가 지난 주말에도 기승을 부리며, 좀처럼 수그러들지 않고 있다. 특히, 갠드크랩 랜섬웨어 유포자가 비너스락커 랜섬웨어를 뿌린 동일 공격자로 추정되고 있어 기업과 이용자들의 각별한 주의가 필요하다.

[이미지=보안뉴스]

30일 하우리 최상명 CERT 실장은 “여전히 갠드크랩 랜섬웨어가 임진영, 하시은 등으로 이름만 바꿔 유포되고 있다”며 “비너스락커 랜섬웨어 유포자들이 불특정 다수를 타깃으로 뿌리고 있다”고 말했다.

갠드크랩 랜섬웨어 유포자는 자신을 임진영이라는 개인제작자로 사칭하며, 제작한 그림을 무단으로 이용했다고 이용자를 협박했다. 그러면서 갠드크랩 랜섬웨어에 감염되도록 첨부파일 확인을 유도했다.

이보다 하루 앞선 29일에는 갠드크랩 랜섬웨어가 svc호스트 실행파일로 위장해 암호화한 데 이어 인터넷 익스플로러 실행파일로 변경해 암호화했다.

보안전문 파워블로거인 벌새는 “갠드크랩 랜섬웨어가 지난 번에는 C:\Windows\SysWOW64\svchost.exe -k ahnlab 방식으로 암호화한데 이어 C:\Program Files\Internet Explorer\iexplore.exe 파일로 변경했다”며 이용자의 주의를 당부했다.

또한, 지난 26일에는 갠드크랩 랜섬웨어가 불특정 다수와 채용공고를 낸 기업을 타깃으로 뿌려졌다. 공격자는 불특정 다수를 대상으로 ‘하시은’이라는 개인제작자로 사칭해 자신의 동의없이 이미지를 사용했다며 메일을 보내 이용자를 협박했다. 그러면서 이용자는 원본 이미지와 사용한 내용을 정리해서 ‘하시은_이미지내용정리.egg’파일로 첨부했다며 파일을 열어보도록 유도했다.

[이미지=보안뉴스]

또한, 같은 날 회사 직원 채용 공고를 낸 기업을 타깃으로도 공격자는 ‘하시은’이라는 이름을 사칭해 “이전 직장에서 3년 반정도 일했다”며 “채용공고를 보고 지원했다”고 밝혔다. 그러면서 이력서 확인을 요청하며 ‘입사지원서(하시은).egg’ 첨부파일을 열어보도록 유도했다.

보안기업 하우리 측은 “비너스락커 조직으로 추정되는 특정 경로가 존재하며, 지난해 말에 이어 올해 초까지 가상화폐 채굴 악성코드를 유포했던 비너스락커 추정 조직이 이번에는 갠드크랩 랜섬웨어를 유포하고 있다”고 설명했다.

안랩도 “최근 인터넷 사이트에 접속하는 것만으로도 감염되는 이른바 갠드크랩(GandCrab v 2.1) 랜섬웨어 피해가 잇따르고 있다”며 “갠드크랩 랜섬웨어 2.1 버전은 주로 보안이 취약한 웹사이트를 통해 유포되고 있다. 특히, 갠드크랩 랜섬웨어를 분석한 결과, 특정 데이터를 포함한 파일이 폴더에 존재하면 해당 폴더는 암호화 않는 조건, 즉 ‘킬 스위치(kill switch)’를 발견했다. 이는 백신 제품의 여러 탐지 기법 중 하나를 우회하기 위해 공격자가 설계한 것으로 추정된다”고 설명했다.

랜섬웨어 감염 예방수칙으로 하우리는 우선 기본적인 보안 수칙을 준수하는 PC 사용 습관이 중요하다고 강조했다. 윈도우 업데이트 및 응용 프로그램 패치, 백신 프로그램 엔진 업데이트를 최신으로 유지하시면서 중요한 문서/파일 등의 데이터를 물리적으로 분리된 저장소에 정기 백업해두는 습관을 길러 랜섬웨어에 감염되더라도 피해를 최소화할 수 있도록 해야 한다고 당부했다.

따라서 이용자는 △중요한 문서나 파일은 물리적으로 분리된 저장소에 백업하여 관리하고, △발신인이 불분명한 메일의 경우, 가능하면 열람하지 않고 첨부파일에 대한 실행을 금지해야 한다. △보안 취약점을 이용한 감염을 예방하기 위해 OS 및 주요 응용 프로그램의 최신 보안 업데이트를 적용하고, △백신 프로그램의 최신 엔진 업데이트 및 안티 익스플로잇(Anti-Exploit) 솔루션을 이용해 사전에 방역하는 것이 바람직하다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)