IP 주소 수집한 뒤 지리적 위치에 따라 다른 공격 펼쳐
[보안뉴스 오다인 기자] 록키 랜섬웨어(Locky Ransomware) 공격자가 공격 캠페인을 새롭게 개편했다. 19일 피싱 전문 보안 업체 피시미(PhishMe)가 발표한 보고서에 따르면, 이번 록키 랜섬웨어는 감염된 컴퓨터를 정찰하도록 수정됐으며 파일 확장자명도 바뀌었다.
[이미지=iclickart]
가장 최근 유포되고 있는 록키 랜섬웨어는 11일부터 활동하기 시작했으며 ‘.asasin’이라는 확장자를 갖고 있다. 피시미의 위협 첩보 매니저 브렌든 그리핀(Brendan Griffin)은 이번 공격이 운영체제나 IP 주소 같은 사용자 컴퓨터 정보를 수집하는 데 맞춰져 있다고 설명했다.
“록키가 수집하는 정보는 사용자 개개인을 식별할 수 있을 정도로 구체적이진 않지만 공격자가 각 컴퓨터에 대한 대략적인 개요를 파악할 수 있게 합니다. 공격자는 목적 없이 움직이지 않는다는 점을 명심해야 합니다.”
그리핀은 록키 랜섬웨어의 정찰 의도에 대해선 분명하게 알 수 없더라도 감염된 윈도우 기기에서 정보를 수집하는 능력을 바탕으로 공격자가 어떤 버전의 운영체제가 공격에 가장 취약한지 알아낼 수 있다고 말했다.
IP 주소는 컴퓨터의 지리적인 위치를 드러내는데, 록키 랜섬웨어는 이 IP 주소들을 수집함으로써 새로운 단계의 공격을 펼칠 수 있게 됐다. 피해자들은 지리적인 위치에 따라 록키 랜섬웨어 공격에 당하거나 뱅킹 트로이목마 트릭봇(TrickBot)에 당하게 된다.
록키 랜섬웨어, 무언의 위협
이번 록키 랜섬웨어는 .asasin이라는 확장자를 사용한다. 그리핀은 몸값을 지불하도록 피해자를 협박하기 위해 이 같은 확장자가 설정됐을 수 있다고 말했다. “무언의 위협일 수도 있고, 자신들의 이름을 널리 알리기 위한 새로운 전략일 수도 있습니다.”
그리핀의 추정에 따르면, 록키 랜섬웨어는 2016년 2월 처음 등장한 이래 약 12번 정도의 변화를 거쳤으며 각 변화 때마다 새로운 파일 확장자명을 썼다. 이전에 쓰인 확장자로 △.ykcol △.lukitus △.thor 등의 확장자 등이 있다.
그리핀은 확장자명이 바뀌긴 했지만 이번 랜섬웨어 공격이 여전히 록키 랜섬웨어라는 사실은 분명해 보인다고 지적했다. 이를 말해주는 명백한 증거 중 일부에는 바로 피해자 정보를 묶어버리기 위해 이 공격이 사용한 암호화 프로세스의 작동 방식, 몸값을 요구하는 글의 구조, 피해자에게 요구하는 지불 수단 등이 있다.
그리핀은 “공격 속성이나 움직임을 종합해봤을 때 똑같은 범죄자들의 짓이라고 결론 내렸다”고 말했다.
록키는 가장 끈질기고 파괴력 있는 랜섬웨어 캠페인 중 하나로 평가된다. 록키 제작자들이 생산해내는 랜섬웨어 샘플의 양이 방대하기 때문이다. 록키 랜섬웨어의 배후로는 던전 스파이더(Dungeon Spider)라고 불리는 조직이 추정되고 있다. 이들은 악성 페이로드를 봇넷으로 배포하기 위해 다른 공격자와 협력하고 있고, 피싱 캠페인을 영리하게 제작한다.
그러나 엔드포인트 보안 업체 크라우드스트라이크(CrowdStrike)의 첩보 부사장 아담 메이어스(Adam Meyers)에 따르면, 지난해 사법당국은 록키 공격자들의 다양한 배포 메커니즘에 지장을 주는 데 성공하기도 했다.
일부 기관에서는 록키를 주기적으로 강력하게 일어나면서도 공격 이후 휴면기를 갖는 공격으로 묘사하기도 하지만, 메이어스는 록키 공격자들이 새로운 실험을 진행하기 전까지 랜섬웨어 변종을 계속해서 출시해서 록키가 잘 부각되지 않도록 하는 수법을 쓰고 있다고 의심하고 있다. 그런 다음 원래의 록키 랜섬웨어를 사용해서 다시 공격을 펼친다는 것이다.
예를 들어, 지난 5월 재프 랜섬웨어(Jaff Ransomware) 과(科)의 공격이 강력하게 나타난 바 있지만 연구자들이 6월에 재프 해독화 툴을 공개하자 공격이 중단됐다.
메이어스는 “재프 랜섬웨어가 사라지자 갑자기 록키 랜섬웨어가 튀어 올랐다”고 설명했다. “재프 랜섬웨어는 록키 랜섬웨어의 대체물이었을지 모릅니다. 재프 랜섬웨어가 더 이상 먹히지 않자 록키 랜섬웨어를 재사용한 것이죠.” 메이어스는 2016년 록키 랜섬웨어의 등장 이래 기타 랜섬웨어 변종과 관련해서도 이처럼 타이밍 측면에서 의심되는 사건들이 있다며, 록키 랜섬웨어가 휴면기 없이 언제나 활동해왔던 것으로 추정된다고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>