특정 지역 사용자 노린 듯...요구하는 금액은 대략 120 달러
[보안뉴스 문가용 기자] 지난 주말부터 시작된 사이버 공격을 분석하다가, 예기치 않게 새로운 랜섬웨어 패밀리가 보안 업체 넷스코프(Netscope)에 의해 발견됐다. 그리고 이 새 랜섬웨어를 스파이더(Spider)라고 명명했다.
[이미지 = iclickart]
넷스코프가 발견한 바에 의하면 스파이더는 현재 MS 오피스 문서인 것처럼 위장돼 퍼지고 있다. 워너크라이처럼 전 세계적인 규모는 아니지만 보스니아 헤르체고비나, 세르비아, 크로아티아의 사용자들을 주로 노리고 있다고 한다. 피싱 이메일은 대부분 ‘빚을 갚으라’는 독촉장의 형태를 띠고 있어 받는 사람들이 확인을 위해 열 수밖에 없다.
외신 블리핑컴퓨터(Bleeping Computer)에 따르면 이 악성 오피스 문서에는 난독화 처리된 매크로 코드가 심겨져 있다. “실행 시 Base64 알고리즘으로 암호화된 파워셸 스크립트가 발동되고, 이 스크립트는 악성 페이로드를 다운로드 받는다”고 넷스코프의 아밋 말릭(Amit Malik)은 설명한다.
이렇게 추가로 다운로드 되는 악성 페이로드가 바로 랜섬웨어다. 사용자의 파일들을 암호화하고 확장자에 .spider를 붙이기 시작한다. 다만 tmp, Videos, winnt, Application Data, Spider, PrefLogs, Program Files(x86), Program Files, ProgramData, Temp, Recycle, System Volume Information, Boot, Windows 폴더들에 있는 파일들은 건너뛴다.
이렇게 인크립터(encrypter)가 암호화를 진행하는 동안 뒤에서는 디크립터(decrypter)가 실행되는데, 이는 나중에 복호화 키가 도착할 경우 이를 사용해 암호화된 파일을 복구하는 기능을 가지고 있다. 또한 사용자를 위한 인터페이스도 포함하고 있다.
뿐만 아니라 디크립터에는 시스템 프로세스 모니터링 기능도 있어 taskmgr, procexp, msconfig, regedit, cmd, outlook, winword, excel, msaccess 등과 같은 툴들이 시작되는 걸 방해한다.
암호화 과정이 전부 끝나면 디크립터가 전면에 나선다. 그리고 협박편지를 화면에 출력해 사용자가 볼 수 있도록 한다. 편지는 영어와 크로아티아어로 구성돼 있다. 복호화하는 방법이 안내되어 있는데, 지불을 원하는 사용자들을 위해 헬프데스크도 운영하는 것처럼 보인다. 이들이 요구하는 금액은 120달러다.
넷스코프는 “랜섬웨어가 점점 더 양과 질적으로 증가하는 때에, 데이터를 위주로 한 보안이 철저히 시행되어야 한다”고 권장한다. 여기에는 데이터를 다루는 일반 직원들에 대한 교육도 포함된다. 각종 소프트웨어의 매크로 기능 역시 안전을 위한다면 디폴트로 꺼두도록 노력해야 할 것이다. “매크로를 켜야만 문서 내용을 열람할 수 있다고 안내가 된다면 확신을 가지고 열지 말아야 합니다.”
보다 상세한 내용이 담긴 넷스코프의 블로그는 여기(https://www.netskope.com/blog/spider-new-thread-ransomware-web/)를 통해 접속이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>