Home > 전체기사
2020년 1분기 최악의 신규 랜섬웨어 5종 꼽아보니... ‘코로나’ 키워드 악용
  |  입력 : 2020-06-22 01:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
30여종의 신규 랜섬웨어 중 Coronavirus, Snake, Ravack, Mailto, Ako 등 악명
상당수의 랜섬웨어가 ‘코로나19’ 키워드 악용해 사용자들의 감염 성공률 높여


[보안뉴스 권 준 기자] 코로나19 사태가 전 세계를 휩쓴 올해 1분기에는 사이버 상에서도 코로나 이슈를 악용한 사이버공격이 많이 등장했다. 랜섬웨어 공격도 마찬가지였는데, 코로나19 정보 관련 문서로 위장한 랜섬웨어 실행파일 유포사례가 다수 발견됐다.

[이미지=utoimage]


한국인터넷진흥원(KISA)이 발표한 ‘2020년 1분기 랜섬웨어 동향분석’ 보고서에 따르면 올해 1분기에 발견된 신규 랜섬웨어는 Snake, Ako 등 30여 종에 달하는 것으로 조사됐다. 특히, 해당 랜섬웨어들은 코로나19 관련 문서로 위장하거나 랜섬웨어 스스로 코로나바이러스 등의 명칭으로 변경하는 등 코로나 키워드를 지속적으로 악용해온 것으로 드러났다.

또한, 2020년 1분기에는 Sodinokibi와 Nemty 등 기존 랜섬웨어의 변종이 다수 출현했으며, 외국 정부와 민간 기업 등 대상을 가리지 않는 공격이 다수 발생했다. 이와 더불어 환전·송금 기업과 은행전산 업무지원 기업 등 다양한 기업의 랜섬웨어 감염 사례가 발견됐다. 여기서는 올해 1분기 발견된 신규 랜섬웨어 가운데 Coronavirus, Snake, Ravack 등 주목할 만한 5가지를 중심으로 소개한다.

1. Coronavirus 랜섬웨어
최근 심각한 사회적 이슈인 코로나19 사태로 인하여 세계적 관심이 집중되고 있는 가운데 Coronavirus라는 캠페인 코드를 사용하는 랜섬웨어가 유포되고 있다. 코로나바이러스 랜섬웨어는 악성 웹사이트나 이메일 첨부파일 형태로 유포된다. 공격자는 복구를 위한 비용으로0.008비트코인을 요구하고 있다.

2. Snake 랜섬웨어
1분기 주요 검색엔진에서 랜섬웨어 연관검색어로 확인된 신규 랜섬웨어중 하나인 Snake 랜섬웨어가 주목을 받고 있다. 이 랜섬웨어는 감염시 암호화된 파일내용의 마지막에 SNAKE의 알파벳 역순인 EKANS라는 문자를 남긴다. Snake 랜섬웨어의 특이한 점으로는 구글에서 개발된 프로그래밍 언어 ‘고(Go)’를 사용하여 개발됐으며, 산업제어 시스템에서 사용되는 프로세스 등을 종료시키는 기능을 담고 있다는 점이다.

Snake 랜섬웨어에 감염되면 프로세스를 일부 종료시키며, 감염된 시스템의 파일을 암호화하게 된다. 이때 랜섬웨어가 종료를 시도하는 프로세스는 주로 산업제어 프로그램에서 사용되는 프로세스들이 다수 포함되어 있다. 또한, 기존 랜섬웨어에서 일반적으로 사용되는 난독화 방식과는 다른 방식을 사용하고 있는 점도 특징이라고 할 수 있다.

3. Ravack 랜섬웨어
올해 1분기에는 불법 소프트웨어를 유포하는 전문채널을 운영하는 유튜버에 의해 랜섬웨어가 유포되기도 했는데, 이 랜섬웨어가 바로 ‘Ravack’이다. ‘Ravack’을 유포한 유튜버는 12만 구독자를 가진 해외 유튜버로, 영상을 통해 불법 소프트웨어 자료에 랜섬웨어를 포함시켜 유포했다. 해당 소프트웨어는 랜섬웨어를 실행파일 내부에 포함하고 있어 소프트웨어 설치과정에서 랜섬웨어와 악성코드가 생성되고 실행되는 것으로 분석됐다. 최근까지도 해당 불법소프트웨어가 지속적으로 유포되고 있으나 백신 등에 랜섬웨어 포함 여부가 탐지되지 않아 각별한 주의가 필요하다.

4. Mailto 랜섬웨어
Mailto 랜섬웨어는 지난 2019년 8월경 처음 발견된 랜섬웨어로 2020년 1분기(2020.01.01.~2020.03.31.) 구글트렌드 랜섬웨어 상승 연관검색어 4위에 포함된 악성코드다. Mailto 랜섬웨어에 감염될 경우 파일 확장자에 .mailto[].<숫자, 알파벳 5글자> 형식의 문자열이 추가된다. Netwalker로도 알려져 있는 랜섬웨어로, 일부 의료관련 기관에 코로나19 관련 정보를 위장한 이메일 첨부파일로 공격을 시도한 사례가 발견됐다.

5. Ako 랜섬웨어
Ako 랜섬웨어는 1월초에 처음 발견된 랜섬웨어로 2020년 1분기(2020.01.01.~2020.03.31.) 구글트렌드 랜섬웨어 상승 연관검색어 5위에 포함된 악성코드로, 일부 변종의 경우 토르(Tor) 브라우저를 설치하고 특정 사이트로 접속할 것을 요구하는 경우도 있다. 일부 사례에서는 협정서라는 이름으로 첨부파일을 위장해 사용자가 실행하도록 유도하는 경우도 발견됐다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)