- 이스트시큐리티, ‘갠드크랩(GandCrab) v2.0’ 랜섬웨어 이메일을 통해 유포하고 있는 정황 발견
- 2016년 12월 국내 비너스락커 랜섬웨어 유포부터 지속적인 공격을 일삼는 한국 맞춤형 공격 그룹 소행 추정
- 특정 이미지 디자이너의 명의 사칭, 이미지 저작권법 문제로 현혹해 갠드크랩 랜섬웨어 감염 유도
이스트소프트의 보안 자회사 이스트시큐리티(대표 정상원)는 2016년 12월부터 국내 주요 기관, 기업 및 인터넷 커뮤니티 사용자를 타깃으로 한국 맞춤형 비너스락커(VenusLocker) 랜섬웨어를 유포했던 조직이, 최근 ‘갠드크랩(GandCrab) v2.0’ 랜섬웨어를 이메일 첨부파일 형태로 유포하고 있는 정황이 발견됐다고 27일 밝혔다.
갠드크랩 랜섬웨어 v1.0버전은 파일 암호화 해제의 대가로 가상화폐 중 비트코인(Bitcoin)이 아닌 대시(Dash) 지불을 요구하는 첫 번째 랜섬웨어로 알려진 바 있으며, 계속해서 진화된 변종이 등장하고 있는 상태다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번에 발견된 공격자는 실제 활동 중인 국내 디자이너의 실명과 프로필 사진 등을 사칭한 이메일을 관련 분야 종사자들에게 배포하는 공격 방식을 사용하고 있다.
이메일은 내용은 수신자가 자신의 디자인 작품을 무단 도용해 사용하고 있어 저작권 침해를 하지 말아 달라는 유창한 한국어로 작성된 안내와 함께, 첨부된 압축 파일을 열어보도록 유도한다.
첨부된 압축 파일을 열어보면 ‘원본이미지.jpg’, ‘사용이미지.jpg’, ‘사이트 링크정리.doc’라는 이름의 파일이 보여 사용자가 별다른 의심 없이 파일을 실행시키도록 현혹하지만, 실제 이 파일은 이미지나 MS 워드 문서가 아닌 이중 확장자로 숨겨진 바로가기(.lnk) 파일이다.
사용자가 의심 없이 이 파일을 실행하면 함께 첨부된 랜섬웨어 파일인 ‘this.exe’가 자동으로 실행되고, PC 내 주요 파일들이 암호화된다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 한국에 유포되고 있는 갠드크랩 랜섬웨어에 감염될 경우 HWP 문서파일 등을 포함해 다양한 데이터들이 암호화되며, 암호화된 파일들은 기존 확장자에 ‘.CRAB’ 확장명이 추가되는 것으로 분석했다.
이와 함께 사용자 PC의 다양한 경로에 ‘CRAB-DECRYPT.txt’ 랜섬노트 파일이 생성되고, 토르(Tor) 브라우저를 통해 파일 암호화 해제의 대가로 가상화폐 대시(DASH) 지불을 요구하는 안내창이 나타난다.
현재 공격자는 약 1.53 DSH를 결제하도록 유도하고 있으며, 2018년 3월 27일 한국의 가상화폐 시세 기준 1 DSH가 약 43만원 선에서 거래가 이루어지고 있는 것을 감안하면 감염 피해자는 약 65만 원 이상의 몸값 지불을 요구받는 셈이다.
또한, ESRC는 공격자가 사용하고 있는 바로가기 파일을 이용한 감염기법이 2016년부터 발견된 비너스락커(VenusLocker) 랜섬웨어와 동일한 코드로 제작되었고, 이메일 문장에 대체로 마침표를 사용하지 않는 등 한국 맞춤형 비러스락커(VenusLocker) 랜섬웨어를 유포했던 조직의 소행으로 추정되는 유사점도 발견했다.
이스트시큐리티 시큐리티대응센터 문종현 이사는 “현재 추정되는 갠드크랩(GandCrab) 랜섬웨어 공격자는2016년 비너스락커 랜섬웨어 유포를 시작으로, 한국을 주요 공격 대상으로 삼고 1년 넘게 활동하며 각종 랜섬웨어와 가상화폐 마이너 등의 악성코드를 집중 유포하고 있는 특징이 있다”며, “유창한 한글로 작성되었고 본인의 업무나 직업 등 유관한 내용을 담고 있는 이메일을 수신할 경우에도, 첨부파일을 열기 전 이미지나 문서파일로 위장한 바로가기 유형의 이중 확장명을 가지고 있는 것은 아닌지 반드시 확인하는 주의가 필요하다”고 강조했다.
현재 이스트시큐리티는 ‘갠드크랩(GandCrab) v2.0’ 랜섬웨어의 확산과 피해 방지를 위해 한국인터넷진흥원(KISA)과 관련 정보를 신속히 공유하는 등 긴밀한 협력을 진행하고 있다.
아울러 회사 측은 “통합 백신 ‘알약’에서는 이번 랜섬웨어 공격에 활용된 악성 바로가기(.lnk) 파일과 랜섬웨어를 각각 ‘Trojan.Downloader.LnK.gen’, ‘Trojan.Ransom.GandCrab’ 탐지명으로 진단하고 치료하고 있다”라며, “이 밖에 알려지지 않은 갠드크랩 변종도 알약 랜섬웨어 행위기반 사전 차단 기술로 방어가 가능한 상태’라고 설명했다.
'뉴스 > IT뉴스' 카테고리의 다른 글
| 엑스페리 코리아, 코엑스 메가박스에서 ‘DTS 사운드 체험관’ 운영 (0) | 2018.03.29 |
|---|---|
| MSI, 무소음 기능 더한 ‘Cubi(큐비)3 Silent 3865U Win10’ 선보여 (0) | 2018.03.28 |
| 넷기어, 게이밍 전용 무선 와이파이 공유기 XR500 출시 (0) | 2018.03.28 |
| 벤큐, 미세먼지 차단하는 방진 설계 프로젝터 DX808ST 출시 (0) | 2018.03.27 |
| GDC2018 펄어비스, 오디오 리마스터링과 자체 엔진 개발 노하우 공유 (0) | 2018.03.27 |
| NHN AD ‘오픈애즈’가 분석한 나에게 맞는 미세먼지/날씨 앱 (0) | 2018.03.26 |
| 배틀그라운드를 위한 최고의 게이밍 모니터, ‘MSI 옵틱스 G27C2’ 특가 이벤트 진행! (0) | 2018.03.23 |
| 에픽게임즈, 언리얼 엔진 게임 및 기술 영상 공개 (0) | 2018.03.23 |
| 유니티, GDC 2018에서 유니티 엔진 로드맵 공개 (0) | 2018.03.23 |
| 개인방송 전성시대! 평범한 사람들의 1인 미디어를 위한 즐거운 잇(IT)템! (0) | 2018.03.23 |