[최신 바이러스 정보]
Trojan/Win32.Foreignransom
최초 발견일: 2019-09-26
종 류: 트로이목마(데이터파괴)
형 태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설 명: Trojan/Win32.Foreignransom는 실행 시
사용자의 모든 파일에 접근하여 암호화시키는 랜섬웨어류 악성코드이다.
[보안TIP]
은퇴한 갠드크랩 공격자들, 레빌 랜섬웨어 새로 만들어
활동
[보안뉴스 문가용 기자] 악명 높은 랜섬웨어인 갠드크랩(GandCrab)의 개발자들은
올해 ‘은퇴’를 발표했었다. 그들의 발표에 따르면, 18개월 만에 20억 달러가 넘는 돈을 벌었기 때문에 더 이상 활동하지 않아도 된다는 것이었다. 물론 은퇴를 진지하게 믿은 사람은 아무도 없었다.
최근 보안 업체 시큐어웍스(Secureworks)가 이 은퇴자의 것으로 강력하게 의심되는 흔적을 찾아냈다. “갠드크랩의 배후 세력인 것으로 알려진 골드 가든(Gold Garden)이
새로운 랜섬웨어를 만들어 활동하는 것으로 보입니다. 이 랜섬웨어의 이름은 레빌(REvil)이며, 최근 파괴적인 모습을 보이고 있습니다.”
레빌이 처음 세상에 모습을 드러낸 건 4월 중순의 일이다. 골드 가든이 은퇴를 발표하기 약 한 달 전쯤이다. 레빌은 텍사스 주의 주 정부 기관과 시설 20여 군데를 마비시켰고, 미국 전역의 치과 의사들을 곤란하게 만들었다. 그러면서 서서히
악명을 떨쳐온 레빌의 가장 큰 특징은 최소한의 감염으로 최대한의 피해를 일으키는 전략을 구사하는 것이었다. 즉
관리 대행 서비스 업체(MSP)와 같이 많은 사람이 영향을 받는 곳이 주요 대상이었다.
갠드크랩이 사라진 빈 자리를 레빌이 빠르게 차지하기
시작했다. 시큐어웍스는 레빌을 조사하면서 배후에 있는 자들에 골드 사우스필드(Gold Southfield)라는 이름을 붙였다. 그러면서 여러
가지 특징을 파악해낼 수 있었다. “먼저는 갠드크랩처럼 대여 형태로 배포되는 랜섬웨어였습니다. 또한 레빌을 대여한 사용자들은 오라클 웹로직(Oracle
WebLogic) 익스플로잇, 악성 스팸, 피싱
이메일, 침해된 MSP 등의 방법을 동원해 레빌을 퍼트리고
있었습니다.”
초기에 확보한 레빌 샘플을 분석했을 때 시큐어웍스
측은 코드에서 꽤나 많은 부분이 갠드크랩과 겹친다는 걸 알 수 있었다. 우연이라고 하기 힘들 정도였다. “예를 들어 레빌의 문자열 복호화 기능은 갠드크랩의 복호화 기능과 거의 완벽하게 똑같았습니다. 두 랜섬웨어가 C&C URL을 구축하는 방법과 로직도
같았습니다. 그 외에도 초기 레빌 버전은 차라리 업그레이드 된 갠드크랩이라고 보는 편이 맞을 정도로
흡사했습니다.” 그 외에도 갠드크랩과 레빌은 러시아의 시스템은 공격하지 않는다는 특징을 가지고 있기도
했다.
시큐어웍스의 연구원인 롭 판타조풀로스(Rob Pantazopoulos)는 “아직 골드 가든 공격자들이
은퇴를 선언하고 갠드크랩 공격을 중단한 이유에 대해서는 정확하게 판단하기가 어렵다”고 말한다. “가장 먼저 떠올려볼 수 있는 건, 사법 기관들입니다. 자신들이 추적당하고 있으며, 정부 기관의 관심사가 되었다는 걸
느꼈겠죠. 사법 기관의 주목을 원하는 범죄자들은 아무도 없습니다.
시선을 돌리기 위해 은퇴를 선언하고 갠드크랩을 버린 것일 수 있습니다.”
또 다른 가능성은 골드 가든 내부에서 분열이 일어났다는
것이다. “골드 사우스필드가 분리되 나온 하위 그룹일 수 있습니다.
이 시나리오가 맞다면, 기존 골드 가든에서 많은 이들이 나온 것으로 보입니다. 이런 경우 갠드크랩 측에서는 충분히 은퇴를 발표할 만하죠. 그리고
진심으로 갠드크랩을 사멸시킨 것일 수도 있습니다. 다만 갈라져 나온 분파에서 갠드크랩의 유산을 이어가고
있는 것이죠.”
확실히 기술적으로 레빌은 갠드크랩을 많이 닮았다. “레빌과 갠드크랩의 차이는 사용자들 뿐입니다. 이를 대여해서
활용하는 여러 범죄 단체의 사용 방법에서만 유의미한 차별성이 나타날 뿐, 그 기반이 되는 모든 것은
똑같습니다.”
보안 업체 피델리스(Fidelis)는 지난 달 레빌에 대해 “2사분기 동안 가장 높은
활동력을 보여준 멀웨어”라고 표현했다. “전체 랜섬웨어
공격의 12.5%를 차지했습니다. 랜섬웨어 시장에서 빠르게
치고 올라오는 강자라는 겁니다. 이것보다 오래 활동했던 류크(Ryuk)
랜섬웨어의 경우 24%를, 포보스(Phobos)의 경우에는 17%를 차지하고 있는 상황에서 말이죠.”
보안 업체 멀웨어바이츠(Malwarebytes)
역시 레빌을 추적해오고 있는데, “레빌은 경쟁력 높은 이 랜섬웨어 시장에서 꽤나 큰
성공을 거두고 있다”며 “갠드크랩이 사라진 자리를 완벽하게
차지하고 있다”고 설명한다. “갠드크랩은 랜섬웨어 역사에
기록될 수준의 성공을 거둔 멀웨어입니다. 그런 공격을 실시한 자들이 은퇴를 할 리가 없습니다. 애초부터 의심스러운 발언이었고, 그것이 레빌로 증명되고 있는
것입니다.”
http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/
|