플로피 시대에도 이미 랜섬웨어 존재해
경찰 사칭부터 다단계 사업모델까지... 랜섬웨어의 발전상
[보안뉴스 문가용] 랜섬웨어가 사이버 범죄자들이 제일 먼저 떠올리는 공격 도구로 자리 잡았고, 이로 인한 범죄자들의 수입은 6천만 달러를 넘어섰다고 한다. 이 어마어마한 돈 중 일부는 차세대 랜섬웨어 개발에 투자되고 있고, 이는 더 많은 공격과 더 많은 수익으로 이어지고 있다. 그들에겐 선순환, 우리에겐 악순환인 것. 사이버 공격의 대세로 자리 잡은 랜섬웨어의 큰 흐름을 읽기 위해 과거를 잠깐 짚어본다.
.jpg)
1. AIDS 트로이목마
최근까지 기승을 부리고 있는 크립토 시리즈 랜섬웨어들은 2005년에 처음 발견되었는데, 이 AIDS는 그보다 훨씬 빨리 등장한 거의 최초의 랜섬웨어라고 볼 수 있다. 플로피 디스크로 시스템들을 감염시키던 이 트로이목마는 한 매체의 표현에 의하면 “인터랙티브한 조사를 통해 사용자가 AIDS를 제거할 만한 위험성을 가지고 있는지를 가늠해본 후” 활동을 시작했다고 한다. 감염된 시스템을 사용자가 다시 켰을 경우 피해자의 파일은 전부 암호화처리 되고 “인증료”로 189달러를 요구했다고 한다. 돈은 파나마의 한 주소로 송금하도록 되어 있었다.
2. 지피코더(GPCoder)
2005년에 등장한 랜섬웨어로 당시 크로튼(Krotten), 아키비우스(Archiveus)라는 랜섬웨어와 함께 멀웨어 트로이카를 구축했다. 물론 다른 랜섬웨어들도 이때 많이 등장했는데, 이 셋이 가장 두각을 나타냈다. 다른 것보다 암호화 방식이 가장 강력했기 때문이다. 당시 1024비트 RSA 암호화 방식을 사용하고 있었으며 브루트포스로 암호화를 무력화시키는 것도 불가능했다.
3. 분도(Vundo)
분도는 2009년에 등장해 왕성하게 변종을 생성해냈다. 처음엔 랜섬웨어라기 보다 평범한 멀웨어였다. 사용자들에게 겁을 줘 가짜 보안 소프트웨어를 설치하도록 했는데, 이 가짜 소프트웨어가 멀웨어였던 것. 그것이 랜섬웨어로 방향을 튼 것이다. 수익이 더 낫기 때문이었다. 스케어웨어(scareware)가 랜섬웨어로 변신한 첫 번째 경우다. PDF, DOC, JPG 파일을 주로 노렸다.
4. 레베톤(Reveton)
비교적 초기 랜섬웨어들은 ‘망신을 준다’나 ‘경찰에 신고’한다를 주 메시지로 활용해 피해자들을 겁줬다. 2012년엔 이렇게 경찰 기관을 사칭한 랜섬웨어가 급증했다. 즉, 피해자들 대부분 ‘경찰’이라는 말에 뜨끔한 부류들이었던 것. 성인물 사이트 운영자나 불법 콘텐츠 유포자들이 가장 많이 당했다. 그런 트렌드의 한 가운데에 레베톤이 있었다. 레베톤은 제우드(Zeus) 및 시타델(Citadel)을 기초로 만들어졌으며 가짜 FBI 로고를 들고 다녔다. 사용자들에게 요구한 건 ‘복호화 값’이 아니라 ‘벌금’이었다.
5. 크립토락커(CryptoLocker)
현대 크립토 시리즈 중에서도 가장 성공한 랜섬웨어로 꼽힌다. 2013년 말에 등장해 세상을 뒤흔들었다. 게임오버 제우스(Gameover Zeus)라는 봇넷을 통해 퍼졌고, 공격자들은 단기간에 3백만 달러라는 높은 수익을 올린 것으로 알려져 있다. 2014년 5월 국제적인 공조로 게임오버 봇넷이 폐쇄되었으나 곧바로 크립토월(CryptoWall)이 크립토락커의 후계자로 등극했다.
6. 크립토월(CryptoWall)
2013년 11월에 처음 발견되었으며, 당시에는 크립토락커의 ‘짝퉁’ 쯤으로 받아들여졌다. 하지만 2014년 3월 즈음엔 크립토월 그 자체로 충분히 공포의 대명사가 되었다. 크립토월 1.0은 RSA 공공/개인 키를 활용했고 그 해 10월에는 C&C 서버를 토르로 바꿔 보안을 강화했다. 아직까지도 활발하게 활동하고 있으며 계속해서 진화하고 있다. 가장 강력한 랜섬웨어 중 하나다.
7. 록키(Locky)
올해 초 등장한 록키뿐만 아니라 새내기 랜섬웨어들은 보다 공격적이고 집요해졌다. 번식력도 훨씬 좋아졌다. 록키는 올해 2월 처음 발견되었으며 이미 하루에 10만 대의 속도로 사용자 기기들을 감염시키고 있었다. 암호화 대상이 되는 파일 종류도 방대했으며, 특히 랜섬웨어로 단순히 협박을 하는 형태의 행각을 벌인 것만이 아니라 ‘다단계 사업’으로 진화한 것이 특징이다. 즉, 록키 랜섬웨어 파트너들을 모아 기술을 전수해주고 일정 수수료를 챙기는 식의 수익모델을 개발한 것이다.
8. 키레인저(KeRanger)
바로 지난 달에 등장한 따끈따끈한 녀석으로 맥 환경을 노리는 것이 특징이다. 일반 랜섬웨어처럼 파일을 암호화하는 것은 물론 복구를 어렵게 하기 위해 맥에서 제공하는 복구 시스템인 타임머신(Time Machine) 마저도 무력화시킨다. 백업이 랜섬웨어의 근본적인 해결책이라고 하는데, 범죄자들은 그에 대한 답도 이미 가지고 있다는 의미로서 시사하는 바가 크다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
경찰 사칭부터 다단계 사업모델까지... 랜섬웨어의 발전상
[보안뉴스 문가용] 랜섬웨어가 사이버 범죄자들이 제일 먼저 떠올리는 공격 도구로 자리 잡았고, 이로 인한 범죄자들의 수입은 6천만 달러를 넘어섰다고 한다. 이 어마어마한 돈 중 일부는 차세대 랜섬웨어 개발에 투자되고 있고, 이는 더 많은 공격과 더 많은 수익으로 이어지고 있다. 그들에겐 선순환, 우리에겐 악순환인 것. 사이버 공격의 대세로 자리 잡은 랜섬웨어의 큰 흐름을 읽기 위해 과거를 잠깐 짚어본다.
1. AIDS 트로이목마
최근까지 기승을 부리고 있는 크립토 시리즈 랜섬웨어들은 2005년에 처음 발견되었는데, 이 AIDS는 그보다 훨씬 빨리 등장한 거의 최초의 랜섬웨어라고 볼 수 있다. 플로피 디스크로 시스템들을 감염시키던 이 트로이목마는 한 매체의 표현에 의하면 “인터랙티브한 조사를 통해 사용자가 AIDS를 제거할 만한 위험성을 가지고 있는지를 가늠해본 후” 활동을 시작했다고 한다. 감염된 시스템을 사용자가 다시 켰을 경우 피해자의 파일은 전부 암호화처리 되고 “인증료”로 189달러를 요구했다고 한다. 돈은 파나마의 한 주소로 송금하도록 되어 있었다.
2. 지피코더(GPCoder)
2005년에 등장한 랜섬웨어로 당시 크로튼(Krotten), 아키비우스(Archiveus)라는 랜섬웨어와 함께 멀웨어 트로이카를 구축했다. 물론 다른 랜섬웨어들도 이때 많이 등장했는데, 이 셋이 가장 두각을 나타냈다. 다른 것보다 암호화 방식이 가장 강력했기 때문이다. 당시 1024비트 RSA 암호화 방식을 사용하고 있었으며 브루트포스로 암호화를 무력화시키는 것도 불가능했다.
3. 분도(Vundo)
분도는 2009년에 등장해 왕성하게 변종을 생성해냈다. 처음엔 랜섬웨어라기 보다 평범한 멀웨어였다. 사용자들에게 겁을 줘 가짜 보안 소프트웨어를 설치하도록 했는데, 이 가짜 소프트웨어가 멀웨어였던 것. 그것이 랜섬웨어로 방향을 튼 것이다. 수익이 더 낫기 때문이었다. 스케어웨어(scareware)가 랜섬웨어로 변신한 첫 번째 경우다. PDF, DOC, JPG 파일을 주로 노렸다.
4. 레베톤(Reveton)
비교적 초기 랜섬웨어들은 ‘망신을 준다’나 ‘경찰에 신고’한다를 주 메시지로 활용해 피해자들을 겁줬다. 2012년엔 이렇게 경찰 기관을 사칭한 랜섬웨어가 급증했다. 즉, 피해자들 대부분 ‘경찰’이라는 말에 뜨끔한 부류들이었던 것. 성인물 사이트 운영자나 불법 콘텐츠 유포자들이 가장 많이 당했다. 그런 트렌드의 한 가운데에 레베톤이 있었다. 레베톤은 제우드(Zeus) 및 시타델(Citadel)을 기초로 만들어졌으며 가짜 FBI 로고를 들고 다녔다. 사용자들에게 요구한 건 ‘복호화 값’이 아니라 ‘벌금’이었다.
5. 크립토락커(CryptoLocker)
현대 크립토 시리즈 중에서도 가장 성공한 랜섬웨어로 꼽힌다. 2013년 말에 등장해 세상을 뒤흔들었다. 게임오버 제우스(Gameover Zeus)라는 봇넷을 통해 퍼졌고, 공격자들은 단기간에 3백만 달러라는 높은 수익을 올린 것으로 알려져 있다. 2014년 5월 국제적인 공조로 게임오버 봇넷이 폐쇄되었으나 곧바로 크립토월(CryptoWall)이 크립토락커의 후계자로 등극했다.
6. 크립토월(CryptoWall)
2013년 11월에 처음 발견되었으며, 당시에는 크립토락커의 ‘짝퉁’ 쯤으로 받아들여졌다. 하지만 2014년 3월 즈음엔 크립토월 그 자체로 충분히 공포의 대명사가 되었다. 크립토월 1.0은 RSA 공공/개인 키를 활용했고 그 해 10월에는 C&C 서버를 토르로 바꿔 보안을 강화했다. 아직까지도 활발하게 활동하고 있으며 계속해서 진화하고 있다. 가장 강력한 랜섬웨어 중 하나다.
7. 록키(Locky)
올해 초 등장한 록키뿐만 아니라 새내기 랜섬웨어들은 보다 공격적이고 집요해졌다. 번식력도 훨씬 좋아졌다. 록키는 올해 2월 처음 발견되었으며 이미 하루에 10만 대의 속도로 사용자 기기들을 감염시키고 있었다. 암호화 대상이 되는 파일 종류도 방대했으며, 특히 랜섬웨어로 단순히 협박을 하는 형태의 행각을 벌인 것만이 아니라 ‘다단계 사업’으로 진화한 것이 특징이다. 즉, 록키 랜섬웨어 파트너들을 모아 기술을 전수해주고 일정 수수료를 챙기는 식의 수익모델을 개발한 것이다.
8. 키레인저(KeRanger)
바로 지난 달에 등장한 따끈따끈한 녀석으로 맥 환경을 노리는 것이 특징이다. 일반 랜섬웨어처럼 파일을 암호화하는 것은 물론 복구를 어렵게 하기 위해 맥에서 제공하는 복구 시스템인 타임머신(Time Machine) 마저도 무력화시킨다. 백업이 랜섬웨어의 근본적인 해결책이라고 하는데, 범죄자들은 그에 대한 답도 이미 가지고 있다는 의미로서 시사하는 바가 크다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
