랜섬머니 지불 요구, 거부 시 탈취한 데이터 다크넷 사이트 공개 협박
[보안뉴스 김영명 기자] 국내에 꾸준히 랜섬웨어를 유포 중인 비너스락커(VenusLocker) 조직 혹은 비너스락커를 모방한 조직이 최근 새로 업데이트 한 LockBit 랜섬웨어 3.0 버전의 유포를 시작했다. LockBit 3.0은 올해 7월 초에 등장했지만, 국내에서는 여전히 LockBit 2.0 버전이 유포되고 있다.
[이미지=utoimage]
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이틀 전 LockBit 3.0 버전 유포가 확인돼 사용자들의 각별한 주의가 필요하다고 밝혔다. LockBit 3.0 버전은 기존과 동일하게 입사지원서를 위장한 피싱 메일을 통해 유포 중이며, 이력서를 위장한 랜섬웨어 파일이 첨부돼 있다. 앞서 배포된 버전들과 마찬가지로 국내 사용자들을 대상으로 공격을 진행 중이며, 국내 맞춤형으로 아래아 한글(HWP) 파일 아이콘을 위장한 실행파일(exe)로 유포 중이다. 만일 사용자가 해당 파일을 한글파일로 오인해 클릭하거나 들어가게 되면 LockBit 3.0 랜섬웨어가 실행된다.
LockBit 3.0 랜섬웨어가 실행되면, 사용자 PC 내 파일들을 암호화한 후 파일명과 확장자를 [랜덤한 6자리 문자열].[랜덤한 9자리 문자열] 형식으로 변경한다. 파일명도 함께 변경되기 때문에, 기존 파일이 어떤 것이었는지조차 분간하기 어렵다. 또한 암호화 후 사용자 PC의 바탕화면을 바꾸고 랜섬노트를 생성한다.
▲비너스락커가 한글파일 아이콘을 위장해 유포 중인 랜섬웨어[이미지=이스트시큐리티]
랜섬노트에는 랜섬머니를 지불하지 않으면 탈취한 데이터들을 다크넷 사이트에 공개한다고 협박하고 있다. 랜섬노트에 기재된 주소로 접속을 하면 암호화된 파일 일부를 복호화할 수 있는 페이지와 실제 LockBit 3.0이 탈취한 데이터를 판매하는 페이지를 확인할 수 있어 사용자의 불안감을 유발하고 랜섬머니를 지불하도록 유도한다.
▲랜섬웨어 감염 후 변경된 바탕화면 및 랜섬노트[이미지=이스트시큐리티]
이스트시큐리티 시큐리티대응센터 관계자는 “모든 사용자는 출처가 불분명한 사용자에게서 온 이메일 내 첨부파일 열람을 지양하고, 수상한 파일 실행 전 반드시 확장자를 확인하는 것이 필요하다”며, “중요 파일에 대해서는 주기적으로 백업을 진행해 랜섬웨어에 감염됐을 때 피해를 최소화할 수 있도록 노력해야 한다”고 말했다.
[김영명 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>