세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
이력서 위장한 갠드크랩 유포 조직, 이번엔 파일공유 서버 구축해 유포
  |  입력 : 2018-11-19 17:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
ESRC, 공격 그룹 17일부터 파일공유 서버 ‘베리즈 웹쉐어’ 구축해 랜섬웨어 유포

[보안뉴스 원병철 기자] 지난 11월 15일부터 입사지원서를 사칭해 갠드크랩 랜섬웨어를 유포했던 조직이 또 다른 갠드크랩 v5.0.4 변종을 유포하는 정황이 포착됐다. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC) 해당 조직이 지난 주말부터 한국에서 개발된 ‘Berryz WebShare(베리즈 웹쉐어)’ 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하고 있다고 밝혔다.

▲베리즈 웹쉐어 서버로 유포 중인 갠드크랩 랜섬웨어 화면[자료=ESRC]


ESRC에서는 해당 위협 조직이 지난 주 이미 해당 서버를 구축하고 있다는 사실을 확인해, 지속적으로 공격자를 추적 감시하고 있었다고 설명했다. 특히, 주말이었던 17일부터는 ‘Berryz WebShare’ 서버를 구축해 유포에 사용하고 있다.

▲몽구스 웹 서버로 갠드크랩 랜섬웨어를 유포했던 화면[자료=ESRC]


베리즈 웹쉐어에는 2개의 파일이 업로드되어 있으며, 파일명은 각각 ‘박혜윤_이력서(181119)열심히하겠습니다.exe’, ‘이미지 무단사용관련 내용확인(박혜윤작가).exe’로 다르게 등록되어 있다. 하지만 두개의 파일은 이름만 다른 동일한 갠드크랩 랜섬웨어라고 ESRC는 설명했다.

▲이력서 등으로 위장하고, 워드파일로 위장한 갠드크랩 랜섬웨어 화면[자료=ESRC]


과거 비너스락커 랜섬웨어를 유포했던 위협조직들이 한국에 집중적으로 최신 랜섬웨어를 유포하고 있어 각별한 주의가 필요한 상태다. 특히, 이용자가 해당 파일에 현혹되어 실행할 경우 컴퓨터에 보관되어 있던 문서, 동영상, 사진 등 대부분의 데이터가 암호화되어 사용이 불가능해진다.

▲갠드크랩 v5.0.4 감염시 생성되는 랜섬노트 화면[자료=ESRC]


해당 랜섬웨어에 감염되면 대부분의 데이터 파일이 암호화되고, 기존 확장자에 ‘.extsxcdshg’ 내용이 추가될 수 있다. 그리고 다수의 경로에 랜섬노트 ‘EXTSXCDSHG-DECRYPT.txt’ 파일이 생성된다.

ESRC는 19일 오전부터 다수의 랜섬웨어 행위차단 통계를 기반으로 갠드크랩 변종의 긴급 패턴 업데이트를 완료한 상태이며, 알약(ALYac) 랜섬웨어 행위기반 차단로직을 통해 감염 활동을 신속히 차단하고 있다고 밝혔다. 특히, 이 공격그룹은 이메일 첨부파일이나 본문 URL 링크를 통해 지속적으로 한국에 변종 랜섬웨어를 유포하고 있기 때문에, 앞으로도 유사한 위협이 지속될 가능성이 높으므로 인터넷 이용자들은 각별히 주의할 것을 권고했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)