최근 발견된 주요 랜섬웨어의 특장점들 요약, 정리
예견된 거였지만... 막을 길 전혀 없는가
▲ 난리네 난리. 정리부터 하자.
[보안뉴스 문가용] 랜섬웨어로 가득한 한 달이 폭풍처럼 지났다. 한국에서만 그런 게 아니라 세계 각지에서 다 그랬다. 랜섬웨어 창궐이 예견되지 않은 건 아니었지만 이는 해도 너무하다. 너무 많은 일이 일어나서 정리를 한 번 하고 지나가야 할 것 같다.
이스라엘 에너지부 전기과
12월 우크라이나 정전사태에 대한 이런 저런 추리가 결론 없이 이어져가는 가운데, 이스라엘 에너지부에서 해킹 공격이 감지되었다는 보도가 나왔다. 에너지부에 전기과 시스템이라고 하니 상상력이 사실 조사보다 빨랐다. 대규모 정전이 또 일어나는가? 이번엔 어떤 멀웨어가 어떤 시스템 혹은 어떤 통제 시스템을 공격했을까? 추측이 마구 마구 일어났다.
하지만 실제로 알아보니 우크라이나 사태와는 완전히 다른 사건이었다. 공격이 일어난 건 발전소나 동력기가 아니라 일반 공기관의 사무실 컴퓨터 몇 대였고, 그것도 공무원 몇 명이 부주의하게 메일을 여는 바람에 랜섬웨어에 감염되었던 것이었다. 약 30명의 직원이 이로 인해 피해를 본 것으로 밝혀졌다.
링컨셔 카운티 의회
영국의 한 지방 정부기관이 랜섬웨어에 걸렸다는 소식도 있었다. 그런데 이게 사무실 몇 곳에만 국한된 게 아니라 너무나 광범위하게 퍼져버리는 바람에 기관 전체를 임시폐쇄시켜야 할 정도였다고 한다.
아직 랜섬웨어의 이름이 공개되지는 않았지만, 이 독한 놈은 카운티 의회 내 컴퓨터 시스템에 있는 루트로까지 침입해 의회 내 도서관뿐 아니라 도로, 아동시설, 의료시설, 교육시설, 여러 관리 기록들 등 중요 정보를 전부 장악했다. 한 직원이 악성 이메일에 첨부된 파일을 무심코 연 후 순식간에 벌어진 일이었다. 지금도 의회 내 약 300대의 컴퓨터가 오프라인 상태다. 언제 복구될 지 기약조차 없는 것으로 알려졌다.
가짜 세일즈포스
소프트웨어 업계의 주요 플레이어 중 하나인 세일즈포스(SalesForce)의 고객센터에서 온 것으로 보이는 피싱 메시지에서 크립토월 4.0이라는 랜섬웨어를 처음 발견한 건 헤임달 시큐리티(Heimdal Security)라는 보안 회사였다.
이메일의 제목은 대부분 받는 사람의 이름에 ‘영수증’, ‘약관 확인’ 등의 표현을 덧붙인 형태였으며 페이로드는 첨부파일을 통해 전달되었다. 헤임달은 크립토월 4.0이 발견된 경위를 업계에 알리며 동시에 변천 역사도 함께 첨부했다. 그게 11월의 일이었고, 이제 슬슬 5.0이 나와도 이상하지 않을 때다.
새로운 안드로이드 랜섬웨어
시만텍도 새롭고 기발한 안드로이드 랜섬웨어를 발견했다. 이 랜섬웨어는 ‘클릭재킹’이라는 기법을 응용했다. 바로 본지에서도 보도가 나간 록드로이드(Lockdroid.E)이다. 이 랜섬웨어는 주요 파일을 전부 암호화하는 동시에 관리자급 권한도 앗아간다.
록드로이드는 성인물 관련 앱의 모양을 하고 있다. (그러므로 비공식 스토어에서만 설치가 가능하다.) 앱을 설치하면 파일의 암호화가 시작되는데, 화면에는 설치 로딩 화면이 나온다.
암호화 작업이 다 끝나면 설치가 완료되었다는 화면을 사용자에게 출력해주고, ‘계속’ 버튼을 누르라고 한다. 그런데 여기엔 눈에 안 보이는 이미지가 살짝 겹쳐 있다. 사용자는 버튼을 누른다고 생각하지만, 사실은 관리자 권한을 조작하는 ‘활성화’ 버튼을 누르는 것이다. 결과는? 화면 잠김, PIN 변화, 파일 삭제다. 이 랜섬웨어에 취약한 안드로이드 기기는 무려 67%에 달한다고 한다.
욕심쟁이 새내기
기존 랜섬웨어의 사업 모델 유형을 완전히 깨버린 랜섬웨어가 등장했다. 보통 랜섬웨어 범죄자들은 코드를 대량 살포하고 운좋게(?) 걸린 피해자에게 300달러 선의 돈을 요구한다. 많아봐야 크립토월 4.0이 700달러를 요구한 것 정도였다. 그런데 최근 등장한 세븐(7ev3n)이란 렌섬웨어는 이를 아주 크게 올려버렸다. 게다가 코드를 살포하지도 않는다.
세 번은 단 한 조직만을 노리고, 무려 5천 달러를 요구한다! 게다가 이게 다가 아니다. 최초의 감염 발생 지점이 엔드포인트가 아니라 서버다. 또한 파일을 암호화하고 기기를 잠궈버리는 짓을 동시에 자행한다. 참으로 탐욕스러운 놈이 나타난 것이라고 볼 수 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
예견된 거였지만... 막을 길 전혀 없는가
▲ 난리네 난리. 정리부터 하자.
[보안뉴스 문가용] 랜섬웨어로 가득한 한 달이 폭풍처럼 지났다. 한국에서만 그런 게 아니라 세계 각지에서 다 그랬다. 랜섬웨어 창궐이 예견되지 않은 건 아니었지만 이는 해도 너무하다. 너무 많은 일이 일어나서 정리를 한 번 하고 지나가야 할 것 같다.
이스라엘 에너지부 전기과
12월 우크라이나 정전사태에 대한 이런 저런 추리가 결론 없이 이어져가는 가운데, 이스라엘 에너지부에서 해킹 공격이 감지되었다는 보도가 나왔다. 에너지부에 전기과 시스템이라고 하니 상상력이 사실 조사보다 빨랐다. 대규모 정전이 또 일어나는가? 이번엔 어떤 멀웨어가 어떤 시스템 혹은 어떤 통제 시스템을 공격했을까? 추측이 마구 마구 일어났다.
하지만 실제로 알아보니 우크라이나 사태와는 완전히 다른 사건이었다. 공격이 일어난 건 발전소나 동력기가 아니라 일반 공기관의 사무실 컴퓨터 몇 대였고, 그것도 공무원 몇 명이 부주의하게 메일을 여는 바람에 랜섬웨어에 감염되었던 것이었다. 약 30명의 직원이 이로 인해 피해를 본 것으로 밝혀졌다.
링컨셔 카운티 의회
영국의 한 지방 정부기관이 랜섬웨어에 걸렸다는 소식도 있었다. 그런데 이게 사무실 몇 곳에만 국한된 게 아니라 너무나 광범위하게 퍼져버리는 바람에 기관 전체를 임시폐쇄시켜야 할 정도였다고 한다.
아직 랜섬웨어의 이름이 공개되지는 않았지만, 이 독한 놈은 카운티 의회 내 컴퓨터 시스템에 있는 루트로까지 침입해 의회 내 도서관뿐 아니라 도로, 아동시설, 의료시설, 교육시설, 여러 관리 기록들 등 중요 정보를 전부 장악했다. 한 직원이 악성 이메일에 첨부된 파일을 무심코 연 후 순식간에 벌어진 일이었다. 지금도 의회 내 약 300대의 컴퓨터가 오프라인 상태다. 언제 복구될 지 기약조차 없는 것으로 알려졌다.
가짜 세일즈포스
소프트웨어 업계의 주요 플레이어 중 하나인 세일즈포스(SalesForce)의 고객센터에서 온 것으로 보이는 피싱 메시지에서 크립토월 4.0이라는 랜섬웨어를 처음 발견한 건 헤임달 시큐리티(Heimdal Security)라는 보안 회사였다.
이메일의 제목은 대부분 받는 사람의 이름에 ‘영수증’, ‘약관 확인’ 등의 표현을 덧붙인 형태였으며 페이로드는 첨부파일을 통해 전달되었다. 헤임달은 크립토월 4.0이 발견된 경위를 업계에 알리며 동시에 변천 역사도 함께 첨부했다. 그게 11월의 일이었고, 이제 슬슬 5.0이 나와도 이상하지 않을 때다.
새로운 안드로이드 랜섬웨어
시만텍도 새롭고 기발한 안드로이드 랜섬웨어를 발견했다. 이 랜섬웨어는 ‘클릭재킹’이라는 기법을 응용했다. 바로 본지에서도 보도가 나간 록드로이드(Lockdroid.E)이다. 이 랜섬웨어는 주요 파일을 전부 암호화하는 동시에 관리자급 권한도 앗아간다.
록드로이드는 성인물 관련 앱의 모양을 하고 있다. (그러므로 비공식 스토어에서만 설치가 가능하다.) 앱을 설치하면 파일의 암호화가 시작되는데, 화면에는 설치 로딩 화면이 나온다.
암호화 작업이 다 끝나면 설치가 완료되었다는 화면을 사용자에게 출력해주고, ‘계속’ 버튼을 누르라고 한다. 그런데 여기엔 눈에 안 보이는 이미지가 살짝 겹쳐 있다. 사용자는 버튼을 누른다고 생각하지만, 사실은 관리자 권한을 조작하는 ‘활성화’ 버튼을 누르는 것이다. 결과는? 화면 잠김, PIN 변화, 파일 삭제다. 이 랜섬웨어에 취약한 안드로이드 기기는 무려 67%에 달한다고 한다.
욕심쟁이 새내기
기존 랜섬웨어의 사업 모델 유형을 완전히 깨버린 랜섬웨어가 등장했다. 보통 랜섬웨어 범죄자들은 코드를 대량 살포하고 운좋게(?) 걸린 피해자에게 300달러 선의 돈을 요구한다. 많아봐야 크립토월 4.0이 700달러를 요구한 것 정도였다. 그런데 최근 등장한 세븐(7ev3n)이란 렌섬웨어는 이를 아주 크게 올려버렸다. 게다가 코드를 살포하지도 않는다.
세 번은 단 한 조직만을 노리고, 무려 5천 달러를 요구한다! 게다가 이게 다가 아니다. 최초의 감염 발생 지점이 엔드포인트가 아니라 서버다. 또한 파일을 암호화하고 기기를 잠궈버리는 짓을 동시에 자행한다. 참으로 탐욕스러운 놈이 나타난 것이라고 볼 수 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
