[보안뉴스 원병철 기자] 지난 11월 15일부터 입사지원서를 사칭해 갠드크랩 랜섬웨어를 유포했던 조직이 또 다른 갠드크랩 v5.0.4 변종을 유포하는 정황이 포착됐다. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC) 해당 조직이 지난 주말부터 한국에서 개발된 ‘Berryz WebShare(베리즈 웹쉐어)’ 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하고 있다고 밝혔다.
▲베리즈 웹쉐어 서버로 유포 중인 갠드크랩 랜섬웨어 화면[자료=ESRC]
ESRC에서는 해당 위협 조직이 지난 주 이미 해당 서버를 구축하고 있다는 사실을 확인해, 지속적으로 공격자를 추적 감시하고 있었다고 설명했다. 특히, 주말이었던 17일부터는 ‘Berryz WebShare’ 서버를 구축해 유포에 사용하고 있다.
▲몽구스 웹 서버로 갠드크랩 랜섬웨어를 유포했던 화면[자료=ESRC]
베리즈 웹쉐어에는 2개의 파일이 업로드되어 있으며, 파일명은 각각 ‘박혜윤_이력서(181119)열심히하겠습니다.exe’, ‘이미지 무단사용관련 내용확인(박혜윤작가).exe’로 다르게 등록되어 있다. 하지만 두개의 파일은 이름만 다른 동일한 갠드크랩 랜섬웨어라고 ESRC는 설명했다.
▲이력서 등으로 위장하고, 워드파일로 위장한 갠드크랩 랜섬웨어 화면[자료=ESRC]
과거 비너스락커 랜섬웨어를 유포했던 위협조직들이 한국에 집중적으로 최신 랜섬웨어를 유포하고 있어 각별한 주의가 필요한 상태다. 특히, 이용자가 해당 파일에 현혹되어 실행할 경우 컴퓨터에 보관되어 있던 문서, 동영상, 사진 등 대부분의 데이터가 암호화되어 사용이 불가능해진다.
▲갠드크랩 v5.0.4 감염시 생성되는 랜섬노트 화면[자료=ESRC]
해당 랜섬웨어에 감염되면 대부분의 데이터 파일이 암호화되고, 기존 확장자에 ‘.extsxcdshg’ 내용이 추가될 수 있다. 그리고 다수의 경로에 랜섬노트 ‘EXTSXCDSHG-DECRYPT.txt’ 파일이 생성된다.
ESRC는 19일 오전부터 다수의 랜섬웨어 행위차단 통계를 기반으로 갠드크랩 변종의 긴급 패턴 업데이트를 완료한 상태이며, 알약(ALYac) 랜섬웨어 행위기반 차단로직을 통해 감염 활동을 신속히 차단하고 있다고 밝혔다. 특히, 이 공격그룹은 이메일 첨부파일이나 본문 URL 링크를 통해 지속적으로 한국에 변종 랜섬웨어를 유포하고 있기 때문에, 앞으로도 유사한 위협이 지속될 가능성이 높으므로 인터넷 이용자들은 각별히 주의할 것을 권고했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>