의료기관 서버 취약점 노리는 ‘삼삼’과 감염 확산 위해 파일 압축하는 ‘마크텁’ 발견

[보안뉴스 김경애] 패치가 안 된 취약점을 갖고 있는 서버를 집중적으로 노리는 ‘삼삼(SamSam)’과 빠른 감염 확산을 위해 파일을 압축하는 ‘마크텁(Maktub)’이라는 새로운 랜섬웨어가 발견됐다.


▲삼삼 랜섬웨어 메시지 화면(출처: 체크포인트)

삼삼 랜섬웨어는 지난 23일 발견됐으며, 취약점이 있는 서버를 노린다. 특히, 민감정보와 환자정보가 많은 의료기관을 타깃으로 한다.

랜섬웨어에 감염되면 중요한 문서, 사진 파일이 암호화되며, RSA-2048 방식으로 암호화된다. 파일을 복구하려면 토르 브라우저를 통해 복호화 키를 받아야만 한다.

글로벌 보안업체 체크포인트(Checkpoint) 측은 “이번에 발견된 랜섬웨어 삼삼과 마크텁은 이전 랜섬웨어와는 다른 기술을 사용한다”며 “주로 의료기관을 노리며, C&C 서버와 통신을 하지 않는 특징이 있다”고 밝혔다.

삼삼 랜섬웨어는 패치가 안 된 소프트웨어가 있는 서버를 찾아 서버 취약점을 통해 네트워크에 침투한다. 이를 통해 공격자들은 원격에서 랜섬웨어를 활성화시키는 것이다. 네트워크가 감염되면 랜섬웨어는 로컬 네트워크를 타고 빠르게 번져 다른 컴퓨터들도 장악하는 것이 특징이다.


▲마크텁 랜섬웨어 메시지 화면(출처: 체크포인트)

마크텁은 기존 랜섬웨어 유포 방식처럼 서비스 약관으로 위장한 이메일을 통해 유포된다. 마크텁 랜섬웨어에 감염되면 1개 PC당 1비트코인을 지불해야 하고, 비트코인을 전송해야 한다. 비트코인을 전송한 후에는 댓글로 비트코인 거래내역과 PC 이름을 남겨야만 복호화 키를 받을 수 있다.

마크텁은 파일을 암호화시킬 뿐만 아니라 압축까지 하는 진화된 모습을 보인다. 파일을 압축하는 이유는 암호화 과정을 보다 빠르게 하기 위함으로 보인다는 게 체크포인트 측의 설명이다.

더욱이 삼삼과 마크텁은 C&C 서버와 통신이 필요 없으며, 각기 독립적으로 활동한다. 즉, 암호화나 협박 모두 오프라인에서 이루어지는 것이나 다름없다는 설명이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>