악명 높은 류크 랜섬웨어가 한 번 더 진화했다. 이번에는 자동으로 자가 증식하는 기능을 가지고 있다고 한다. 한 땀 한 땀 공격하길 좋아하던 자들인데, 이제 자동화 쪽으로 넘어가려는 것으로 보인다. 이러면 류크는 더 살벌한 위협이 될 수밖에 없다.
[보안뉴스 문가용 기자] 프랑스의 정보 보안 당국인 ANSSI가 “웜 방식으로 퍼지는 류크 랜섬웨어의 변종을 발견했다”고 발표했다. 즉 이전 버전의 류크와 달리 한 번 네트워크에 침투하면 자동으로 횡적으로 움직여 확산할 수 있다는 것이다. 이러면 더 많은 장비들이 감염되기 때문에 피해가 커진다.
[이미지 = utoimage]
류크(Ryuk)는 2018년부터 존재감을 드러낸 악명 높은 랜섬웨어로, 트릭봇(TrickBot)이라는 멀웨어를 통해 퍼지는 것으로 알려져 있다. 트릭봇이 최초 침투에 성공해 문을 열어두면, 그곳을 통해 류크가 들어가는 식이었다. 하지만 최근 마이크로소프트와 사법 기관들의 공조로 트릭봇이 무력화 되면서 류크는 또 다른 통로를 찾아야만 하는 상황에 놓이게 됐다.
물론 류크가 전적으로 트릭봇에 의존하던 건 아니었다. ANSSI에 의하면 “류크는 이모텟(Emotet)이라는 유명 로더를 통해서 퍼지기도 했으며, 2020년 9월부터는 바자로더(BazarLoader)를 통해서도 유포되기도 했었다”고 한다. 상황에 따른 사이버 범죄자들의 유연성은 익히 알려진 바다. 해당 보고서는 여기(https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-006.pdf)서 열람이 가능하다.
이 보고서에 의하면 류크 개발자 혹은 운영진들은 다른 확산 방법을 개발한 것으로 보인다. 그것은 바로 웜 기능을 활용하는 것이다. 류크가 자가 증식하는 ‘웜 특성’을 보인 적은 여태까지 한 번도 없었다. ANSSI는 보고서를 통해 “네크워크 공유 자원과 휴대옹 드라이브를 암호화 하는 기능이 탑재된 적은 있었지만 웜 기능은 처음”이라고 강조했다.
“웜 기능은 주로 스케줄러를 통해 구현됩니다. 특히 스케줄러를 통해 작업(task)을 예약하고, 이를 활용해 기계에서 기계로 자동 증식합니다. 이 기능이 한 번 발동되면 윈도 RPC 접근이 허용된 모든 기계들이 랜섬웨어에 감염됩니다.” ANSSI는 이것이 꽤나 이례적인 변화라고 지적한다. 왜냐하면 류크 운영자들은 수작업을 선호했기 때문이다.
“이들은 침투 후 직접 정찰을 하고, 직접 정보를 분석하며, 직접 추가 페이로드를 삽입한 후 직접 발동시키는 걸 선호해 왔습니다. 그런데 ‘자동화’ 기술을 추가해 새 변종을 만들어냈다는 건 운영자들이 자동화로 노선을 바꾸었다는 뜻이 되기도 합니다. 아직 결론을 내리기에는 이르지만 자동화 기술이 탑재된다면 이들은 더 파괴적인 위협이 될 것입니다.”
그 외에 나머지 기능과 특성들은 기존 류크 변종들에서 발견할 수 있었던 것과 다를 바가 없었다. AES와 RSA 알고리즘을 활용해 암호화를 한다든가, 특정 프로세스들을 찾아내 종료시킨다거나, 암호화 후 파일에 RYK 확장자를 붙이는 것 역시 그대로였다. 또한 ANSSI는 “같은 장비를 반복적으로 감염시키는 것도 가능해 보인다”고 덧붙이기도 했다.
3줄 요약
1. 류크 변종 발견. 이번에는 자가 증식 기능 가지고 있음.
2. 원래 수동 공격 선호하던 자들이 어쩐 일로 자동화 기능을?
3. 더 무서운 위협으로 진화하는 징조로 해석될 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 프랑스의 정보 보안 당국인 ANSSI가 “웜 방식으로 퍼지는 류크 랜섬웨어의 변종을 발견했다”고 발표했다. 즉 이전 버전의 류크와 달리 한 번 네트워크에 침투하면 자동으로 횡적으로 움직여 확산할 수 있다는 것이다. 이러면 더 많은 장비들이 감염되기 때문에 피해가 커진다.
[이미지 = utoimage]
류크(Ryuk)는 2018년부터 존재감을 드러낸 악명 높은 랜섬웨어로, 트릭봇(TrickBot)이라는 멀웨어를 통해 퍼지는 것으로 알려져 있다. 트릭봇이 최초 침투에 성공해 문을 열어두면, 그곳을 통해 류크가 들어가는 식이었다. 하지만 최근 마이크로소프트와 사법 기관들의 공조로 트릭봇이 무력화 되면서 류크는 또 다른 통로를 찾아야만 하는 상황에 놓이게 됐다.
물론 류크가 전적으로 트릭봇에 의존하던 건 아니었다. ANSSI에 의하면 “류크는 이모텟(Emotet)이라는 유명 로더를 통해서 퍼지기도 했으며, 2020년 9월부터는 바자로더(BazarLoader)를 통해서도 유포되기도 했었다”고 한다. 상황에 따른 사이버 범죄자들의 유연성은 익히 알려진 바다. 해당 보고서는 여기(https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-006.pdf)서 열람이 가능하다.
이 보고서에 의하면 류크 개발자 혹은 운영진들은 다른 확산 방법을 개발한 것으로 보인다. 그것은 바로 웜 기능을 활용하는 것이다. 류크가 자가 증식하는 ‘웜 특성’을 보인 적은 여태까지 한 번도 없었다. ANSSI는 보고서를 통해 “네크워크 공유 자원과 휴대옹 드라이브를 암호화 하는 기능이 탑재된 적은 있었지만 웜 기능은 처음”이라고 강조했다.
“웜 기능은 주로 스케줄러를 통해 구현됩니다. 특히 스케줄러를 통해 작업(task)을 예약하고, 이를 활용해 기계에서 기계로 자동 증식합니다. 이 기능이 한 번 발동되면 윈도 RPC 접근이 허용된 모든 기계들이 랜섬웨어에 감염됩니다.” ANSSI는 이것이 꽤나 이례적인 변화라고 지적한다. 왜냐하면 류크 운영자들은 수작업을 선호했기 때문이다.
“이들은 침투 후 직접 정찰을 하고, 직접 정보를 분석하며, 직접 추가 페이로드를 삽입한 후 직접 발동시키는 걸 선호해 왔습니다. 그런데 ‘자동화’ 기술을 추가해 새 변종을 만들어냈다는 건 운영자들이 자동화로 노선을 바꾸었다는 뜻이 되기도 합니다. 아직 결론을 내리기에는 이르지만 자동화 기술이 탑재된다면 이들은 더 파괴적인 위협이 될 것입니다.”
그 외에 나머지 기능과 특성들은 기존 류크 변종들에서 발견할 수 있었던 것과 다를 바가 없었다. AES와 RSA 알고리즘을 활용해 암호화를 한다든가, 특정 프로세스들을 찾아내 종료시킨다거나, 암호화 후 파일에 RYK 확장자를 붙이는 것 역시 그대로였다. 또한 ANSSI는 “같은 장비를 반복적으로 감염시키는 것도 가능해 보인다”고 덧붙이기도 했다.
3줄 요약
1. 류크 변종 발견. 이번에는 자가 증식 기능 가지고 있음.
2. 원래 수동 공격 선호하던 자들이 어쩐 일로 자동화 기능을?
3. 더 무서운 위협으로 진화하는 징조로 해석될 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
