Home > 전체기사
평범했던 랜섬웨어 프로락, 칵봇과 손잡고 파괴력 한층 높아져
  |  입력 : 2020-05-19 13:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 4월 ATM 제조사 공격하면서 이름 알린 프로락...그러나 평범한 랜섬웨어
칵봇이라는 멀웨어와 협업 성공...더 은밀한 침투와 네트워크 내 횡적 움직임 가능해져


[보안뉴스 문가용 기자] 비교적 최근에 발견된 랜섬웨어인 프로락(ProLock)이 칵봇(QakBot)이라는 뱅킹 트로이목마와 힘을 합한 것으로 나타났다. 칵봇이 가진 공격 지속성, 탐지 방해, 크리덴셜 덤핑 기술력을 프로락이 활용함으로써 파괴력이 증가했다고 한다.

[이미지 = iclickart]


프로락은 지난 3월에 처음 발견된 랜섬웨어로, 폰드락커(PwndLocker)라는 랜섬웨어의 후속 버전으로 보인다. 주로 금융, 의료, 정부 기관과 도소매 조직들을 공격해왔다. 프로락이 이름을 본격적으로 알린 건 지난 4월, 디볼드 닉스도프(Diebold Nixdorf)라는 ATM 제조사를 공격하면서부터였다.

프로락은 파일을 암호화 하고나서 .proLock 혹은 .pr0Lock, .proL0ck과 같은 확장자를 붙인다. 그런 후 피해자에게 협박 편지를 남기는데, 이때 이들이 요구하는 금액은 35 비트코인 정도 되는 것으로 알려져 있다. 해외 IT 매체인 블리핑컴퓨터에 의하면 프로락 운영자들은 10만 단위의 금액을 요구한다고 한다(달러 기준).

그러나 기존의 다른 랜섬웨어에 비해 특별히 다르다고 할 만한 특장점은 가지고 있지 않은 것으로 보인다. 그저 방어해야 할 랜섬웨어 패밀리가 한 가지 더 생겼다는 것만 빼면 ‘흔한 랜섬웨어’가 출현한 것뿐이었다. 그런 와중에 칵봇과 결합했다는, 특별한 소식이 나온 것이다.

칵봇은 일종의 트로이목마로, 메가코텍스(MegaCortex)라는 랜섬웨어와 관련이 있고, 이모텟(Emotet)이라는 멀웨어를 통해 로딩되는 것으로 알려져 있다. 그 외에도 마이크로소프트 오피스 문서의 형태로 이메일에 첨부되어 퍼지기도 한다. 피해자가 이 문건을 열면 파워셸이 실행되고, 이를 통해 칵봇 페이로드가 설치되는 식이다. 설치된 이후 칵봇은 C&C 서버와 연결된다.

칵봇과 합쳐진 프로락은 여러 새로운 기능을 얻게 되었다. 랜섬웨어를 통해 피해자의 파일들을 암호화시킬 뿐만 아니라 미리 크리덴셜 정보를 빼내어 다른 악성 행위들을 실시할 수 있게 된다. 칵봇으로 크리덴셜 정보를 빼낸 프로락 운영자들은, 피해자의 네트워크에서 횡적으로 움직일 수 있게 되며, 이를 통해 보다 많은 시스템을 감염시킬 수 있게 된다. 이렇게만 해도 프로락의 파괴력은 배가 된다.

프로락과 칵봇이 뭉쳤다는 건 단순 파괴력 증가를 넘어서는 의미를 가지고 있다. 사이버 범죄자들 간의 파트너십이 자주 일어나고 있다는 걸 방증하기 때문이다. 독자적으로 연구 개발을 진행했던 이전 범죄자들과 달리 요즘의 해커들은 자신들의 모자란 부분을 다른 그룹과의 협업으로 메운다. 예를 들어 트릭봇(TrickBot)과 아이스드아이디(IcedID)의 운영자들은 2018년부터 협업을 해왔고, 류크(Ryuk) 랜섬웨어는 트릭봇과 이모텟을 활용해 퍼져나가기도 했다.

칵봇과 합쳐진 프로락은 최초 침투 시 탐지를 좀 더 잘 비껴가게 되기도 했다. 공격 지속력도 좋아졌다. 칵봇이 실행 파일을 가짜로 서명하는 기능을 가졌기 때문이다. 또한 감염 자체도 여러 단계를 거치기 때문에 탐지가 쉽지 않은 게 사실이다.

현재 메이즈(Maze)를 필두로 많은 랜섬웨어들이 ‘이중 협박 전략’의 노선을 타고 있는 상황에서, 프로락은 ‘다른 멀웨어와의 파트너십’을 택한 것으로 보인다. 이중 협박 전략이란, 데이터를 암호화 하기 전에 공격자들이 운영하는 서버로 빼내고, 이를 빌미로 피해자에게 더 강력한 협박을 가하는 것을 말한다. 피해자가 돈을 내지 않을 경우, 민감한 정보를 공개하기도 한다. 프로락에서는 아직 이런 전략이 발견되지는 않았다.

3줄 요약
1. 최근 등장했지만 평범했던 랜섬웨어, 프로락.
2. 칵봇이라는 뱅킹 트로이목마와 협업 체계 구축해 평범함 벗고 파괴력 입고.
3. 사이버 범죄자들 사이에 파트너십 이뤄지는 경우가 서서히 많아지고 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상