세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
이력서 위장한 갠드크랩 유포 조직, 이번엔 파일공유 서버 구축해 유포
  |  입력 : 2018-11-19 17:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
ESRC, 공격 그룹 17일부터 파일공유 서버 ‘베리즈 웹쉐어’ 구축해 랜섬웨어 유포

[보안뉴스 원병철 기자] 지난 11월 15일부터 입사지원서를 사칭해 갠드크랩 랜섬웨어를 유포했던 조직이 또 다른 갠드크랩 v5.0.4 변종을 유포하는 정황이 포착됐다. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC) 해당 조직이 지난 주말부터 한국에서 개발된 ‘Berryz WebShare(베리즈 웹쉐어)’ 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하고 있다고 밝혔다.

▲베리즈 웹쉐어 서버로 유포 중인 갠드크랩 랜섬웨어 화면[자료=ESRC]


ESRC에서는 해당 위협 조직이 지난 주 이미 해당 서버를 구축하고 있다는 사실을 확인해, 지속적으로 공격자를 추적 감시하고 있었다고 설명했다. 특히, 주말이었던 17일부터는 ‘Berryz WebShare’ 서버를 구축해 유포에 사용하고 있다.

▲몽구스 웹 서버로 갠드크랩 랜섬웨어를 유포했던 화면[자료=ESRC]


베리즈 웹쉐어에는 2개의 파일이 업로드되어 있으며, 파일명은 각각 ‘박혜윤_이력서(181119)열심히하겠습니다.exe’, ‘이미지 무단사용관련 내용확인(박혜윤작가).exe’로 다르게 등록되어 있다. 하지만 두개의 파일은 이름만 다른 동일한 갠드크랩 랜섬웨어라고 ESRC는 설명했다.

▲이력서 등으로 위장하고, 워드파일로 위장한 갠드크랩 랜섬웨어 화면[자료=ESRC]


과거 비너스락커 랜섬웨어를 유포했던 위협조직들이 한국에 집중적으로 최신 랜섬웨어를 유포하고 있어 각별한 주의가 필요한 상태다. 특히, 이용자가 해당 파일에 현혹되어 실행할 경우 컴퓨터에 보관되어 있던 문서, 동영상, 사진 등 대부분의 데이터가 암호화되어 사용이 불가능해진다.

▲갠드크랩 v5.0.4 감염시 생성되는 랜섬노트 화면[자료=ESRC]


해당 랜섬웨어에 감염되면 대부분의 데이터 파일이 암호화되고, 기존 확장자에 ‘.extsxcdshg’ 내용이 추가될 수 있다. 그리고 다수의 경로에 랜섬노트 ‘EXTSXCDSHG-DECRYPT.txt’ 파일이 생성된다.

ESRC는 19일 오전부터 다수의 랜섬웨어 행위차단 통계를 기반으로 갠드크랩 변종의 긴급 패턴 업데이트를 완료한 상태이며, 알약(ALYac) 랜섬웨어 행위기반 차단로직을 통해 감염 활동을 신속히 차단하고 있다고 밝혔다. 특히, 이 공격그룹은 이메일 첨부파일이나 본문 URL 링크를 통해 지속적으로 한국에 변종 랜섬웨어를 유포하고 있기 때문에, 앞으로도 유사한 위협이 지속될 가능성이 높으므로 인터넷 이용자들은 각별히 주의할 것을 권고했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술