Home > 전체기사
비트페이머와 거의 똑같은 랜섬웨어, 도플페이머 등장
  |  입력 : 2019-07-16 14:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비트페이머 배후에 있던 인드릭 스파이더 그룹, 내부적으로 나뉜 듯
도플페이머, 암호화 기술이라는 측면에서는 비트페이머보다 향상된 모습 보여


[보안뉴스 문가용 기자] 보안 전문가들이 새로운 랜섬웨어 변종을 찾아냈다. 이전에 발견됐던 랜섬웨어인 비트페이머(BitPaymer)와 코드가 유사해서 이름을 도플페이머(DoppelPaymer)라고 붙였다. 비트페이머는 인드릭 스파이더(Indrik Spider)라는 공격 단체가 운영하던 것이다.

[이미지 = iclickart]


도플페이머 샘플은 지난 6월부터 시작된 대형 캠페인에서부터 발견됐다. 이 캠페인의 일환으로 공격자들은 텍사스의 에드카우치 시와 칠레의 농업부 등을 공격했다고 보안 업체 크라우드스트라이크(CrowdStrike)는 밝혔다.

비트페이머와 도플페이머의 코드는 상당 부분 닮아있지만, 차이점도 존재한다. 유사점과 차이점을 분석한 크라우드스트라이크는 “인드릭 스파이더 그룹이 갈라졌고, 한 분파가 비트페이머와 드리덱스(Dridex)의 소스코드를 혼합해 사용하기 시작한 것으로 보인다”고 설명했다. “한 방에 큰 금액을 노리기 위해 주로 기업을 표적으로 삼는 공격을 하는 것으로 보입니다.”

크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)는 “최근 랜섬웨어 공격자들은 정부 기관, 산업체, 의료 분야 등 큰 돈을 내놓을 만한 조직을 표적으로 삼아 공격한다”며, “일반 개인에게까지 흩뿌리는 살포식 랜섬웨어 공격은 사이버 공격 초보자들만 하고 있다”고 최근 추세에 관해 설명했다.

인드릭 스파이더는 2014년에 결성된 것으로 보이는 공격 단체로, 게임오버 제우스(GameOver Zeus)라는 범죄 조직과 관련성이 깊은 것으로 의심된다. 인드릭 스파이더는 결성 이후 드리덱스라는 악명 높은 멀웨어를 만들어 공격을 일삼기 시작했다. 드리덱스 캠페인은 2015~2016년에 특히 기승을 부렸고, 당시 최악의 사이버 범죄 공격으로 꼽히기도 했다. 그리고 2017년 8월, 인드릭 스파이더는 비트페이머를 앞세워 랜섬웨어 공격을 실시했다.

비트페이머는 최초 출시 이후 여러 번의 변경을 거쳤다. 그러다가 2018년 11월 대대적인 업데이트가 있었다. 협박 편지에 피해자의 이름이 직접 기재되기 시작했다. 뿐만 아니라 암호화를 거친 파일의 확장자에도 피해자의 이름이 들어갔다. 암호화 방식 자체도 256비트 AES로 바뀌었다. 이전에는 128비트 RC4가 사용됐다. 전문가들은 ‘상당한 업그레이드’라고 평했다.

가장 최근에 발견된 비트페이머 캠페인에서는, 최소 15개의 조직들이 표적 공격을 당했다. 2018년 11월의 일이었으나 2018년 중반까지도 이어졌다. 그런 상태에서 6월, 돌연 비트페이머와 똑같이 생긴 도플페이머가 나타난 것이다. 분석 결과 도플페이머가 만들어진 시기는 올해 4월인 것으로 나타났다. 하지만 주요한 기능이 일부 빠져 있었고, 따라서 ‘실험용 샘플’일 가능성이 높았다. 현재까지 크라우드스트라이크는 8개의 도플페이머 빌드들과 3개의 피해 조직을 찾아내는 데 성공했다. 범인들이 요구한 금액은 최소 2만 5천 달러였고, 총합이 120만 달러를 넘었다.

“사이버 공격자들은 나중에 어떤 종류의 멀웨어를 사용하든, 처음에는 이모텟(Emotet)이나 드리덱스와 같은 멀웨어를 써서 최초 침투에 성공하곤 합니다. 그런 다음에는 권한 상승 공격 등을 이어가면서 횡적인 움직임을 시도하고요. 그런 다음 중요한 부분에 도달하거나, 충분한 영역을 확보하면 랜섬웨어를 퍼트리는 것이죠. 그게 최근 랜섬웨어 공격자들의 수법입니다.” 메이어스의 설명이다.

“도플페이머와 비트페이머의 코드는 많은 점에서 비슷합니다. 도플페이머를 만든 사람이 비트페이머의 소스코드를 확보했거나, 소유하고 있었을 것 같습니다. 원래 있던 것을 가지고 살짝 비틀어서 만든 게 도플페이머죠. 암호화 기술이나 협박 편지의 문구 정도가 바뀌었습니다.” 그 외 피해자들에게 지불을 요구하는 방식이나, 협박 편지에 들어가는 내용의 요소들은 큰 틀에서 같다고 메이어스는 말한다.

하지만 결국 나중에 나온 도플페이머가 암호화 기능에 있어서는 보다 향상된 면모를 보이고 있다. “도플페이머의 파일 암호화 과정은 비트페이머에 비해 속도가 훨씬 빠릅니다. 또한 도플페이머는 특정 명령행이 입력된 이후에만 실행됩니다. 명령행이 없거나 부정확하면 도플페이머가 작동을 멈춥니다. 또한 프로세스해커(ProcessHacker)라는 기술을 사용하기도 합니다.”

프로세스해커란 정상 오픈소스 관리자 유틸리티로, 시스템 내에서 돌아가고 있는 프로세스나 서비스를 중단시키는 데 사용된다.

크라우드스트라이크는 “현재 비트페이머와 도플페이머가 동시에 진행되고 있어, 일반 조직들과 방어 담당자들은 둘 다 신경 써야 할 것”이라고 경고했다.

3줄 요약
1. 비트페이머 랜섬웨어에서 곁가지로 나온 듯한 ‘도플페이머’ 랜섬웨어 등장.
2. 비트페이머 공격자가 내부적으로 나뉜 후 한쪽에서 도플페이머 개발한 듯.
3. 비트페이머와 도플페이머, 둘 다 활동 중이어서 방어자들은 다 신경 써야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향