사탄 랜섬웨어의 후계자? 5ss5c라는 이름의 랜섬웨어 등장

입력 : 2020-01-16 14:36

개발이 꾸준히 이뤄졌던 사탄 랜섬웨어...갑자기 중단된 이후 5ss5c 등장해
협박 편지는 중국어로 작성되어 있고, 범인의 메일은 러시아의 도메인

[보안뉴스 문가용 기자] 사탄(Satan)이라는 랜섬웨어의 배후에 있는 자들은 디비거(DBGer), 럭키(Lucky), 아이언(Iron)이라는 멀웨어와도 관련이 있는 것으로 알려져 있다. 여러 멀웨어를 개발하고 운영을 해본 이 집단은 최근 사탄 랜섬웨어를 한 단계 발전시켜 세상에 내놓았다. 그 이름은 5ss5c이다.


멀웨어 분석가인 바트 블레이즈(Bart Blaze)에 의하면 공격자들이 사탄의 업그레이드를 위해 작업을 시작한 건 최소 작년 11월부터라고 한다. “현재 확보된 샘플을 분석했을 때 두 번째 스프레더 모듈이 있는 걸 발견할 수 있었습니다. 이름은 poc.exe였고요. Poc는 보통 개념증명용 코드에 붙이는 이름이죠. 공격자들이 아직 실험 단계에 있는 것으로 보입니다.”

5ss5c와 사탄의 연관성을 드러내는 증거에는 여러 가지가 있다. “먼저 사탄은 꽤나 업데이트가 자주 이뤄졌던 랜섬웨어입니다. 새로운 기술과 기능들이 부지런히 추가됐죠. 그런데 2019년 여름 즈음부터 이러한 행태가 사라졌어요. 그러고는 5ss5c가 11월부터 등장하기 시작했습니다. 사탄과 비슷한 면모를 가지고 말이죠.”

그렇다면 두 랜섬웨어는 어떤 점에서 비슷한 면모를 보일까? 블레이즈는 다음과 같은 것들을 꼽는다.
1) 다운로더를 통해 런칭되는 과정
2) 확산을 위해 이터널블루(EternalBlue)를 사용하는 점
3) 사탄이 가지고 있던 아티팩트들 일부가 겹침
4) 감염 전략, 기술, 과정(이는 디비거에서도 공통적으로 발견됨)

그러나 새로운 부분도 눈에 띈다. “Poc.exe의 스프레더를 패킹하는 데 에니그마 버추얼박스(Enigma VirtualBox)가 활용되었습니다. 파일은 C:\ProgramData\poc.exe에 드롭되고, 다음 명령을 실행합니다.”
cd /D C:\ProgramData&star.exe --OutConfig a --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload C:\ProgramData\down64.dll --TargetIp

이 명령과 매우 비슷한 명령어가 사탄에서도 발견된다고 블레이즈는 설명한다. “사탄에는 이런 코드가 있죠.”
cmd /c cd /D C:\Users\Alluse~1\&blue.exe --TargetIp & star.exe --OutConfig a --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload down64.dll --TargetIp

또한 5ss5c도 사탄 랜섬웨어처럼 암호화 하지 않는 파일들을 목록으로 만들어 따로 보관해둔다. 둘이 정확히 같지는 않은데, 5ss5c가 사탄보다 더 긴 목록을 가지고 있다. “사탄은 치후360(Qihoo 360)과 관련이 있는 파일들을 암호화 하지 않습니다. 5ss5c에서는 360다운로드(360download)와 360세이프(360safe) 파일들도 제외되었습니다. 암호화 하는 파일도 살짝 다릅니다.”

5ss5c 랜섬웨어의 협박문은 중국어로 작성되어 있다. “복호화 하려면 1비트코인을 내야 한다고 피해자들을 협박합니다. 48시간이 지나면 금액이 두 배로 늘어난다고도 하고요. 그런데 이상하게 지불을 해야 할 곳이 지정되지 않은 상태입니다. 암호화가 끝난 파일의 확장자에 공격자의 이메일 주소가 적혀있을 뿐입니다.” 이메일 주소는 5ss5c@mail.ru이다.

블레이즈는 5ss5c가 현재 개발 단계에 있기 때문에 아직 이 부분(지불을 위한 계정이나 주소)이 구비되지 않은 것으로 보인다고 분석한다.

한편 사탄 랜섬웨어는 서비스형 랜섬웨어(RaaS)로 제공되기도 했다. 따라서 5ss5c 랜섬웨어도 그런 식으로 배포될 가능성이 낮지 않다.

3줄 요약
1. RaaS 랜섬웨어로서 악명 높은 사탄의 후계자, 5ss5c 등장.
2. 파일 암호화 한 후 피해자들에게 1비트코인을 48시간 안에 입금하라고 요구.
3. 하지만 돈을 보낼 곳이 명시되어 있지 않음. 아직 개발 단계에 있는 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  北 김수키, 최신 공격 사례... RDP W...

• 2

  대단히 은밀하고 비밀스러운 랜섬웨어 이미르,...

• 3

  오랜 시간 물밑에서 퍼지고 있는 위협 ‘시팅...

• 4

  블랙프라이데이라는 쇼핑 시즌 노리는 중국 해...

• 5

  맥OS 환경에서 멀웨어를 퍼트리는 새로운 기...

• 1

  [단독] 한국지능정보사회진흥원, 관리자계정 ...

• 2

  소프트웨어 개발사가 진짜 나쁜 놈이라던 CI...

• 3

  [개인정보 보호법 해석 사례-②] CCTV ...

• 4

  도청·불법촬영 예방교육센터, 불법촬영 탐지교...

• 5

  北 김수키, 최신 공격 사례... RDP W...

• 1

  언더그라운드 랜섬웨어, 텔레그램에 탈취 정보...

• 2

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 3

  [단독] 한국지능정보사회진흥원, 관리자계정 ...

• 4

  이스트시큐리티, 파주 세경고 학생 대상 AI...

• 5

  [bnTV] 블랙프라이데이 시즌, 해외직구 ...