.jpg)
.gif)
최근 몇 년 동안 활동이 뜸했던 랜섬웨어의 소스코드가 갑자기 다크웹에 나타났다. 단돈 500달러면 판매할 수 있다고 판매자가 광고했는데, 얼마 후 누군가 구매를 완료했다고 한다. 여러 가지 의문이 남지만 제펄린의 활동이 다시 시작될 것은 분명해 보인다.
[보안뉴스 문정후 기자] 제펄린(Zeppelin)이라는 이름의 러시아산 랜섬웨어의 소스코드가 최근 다크웹에서 500달러에 판매되기 시작했다. 제펄린이라고 하면 과거 미국의 여러 기업과 단체들을 침해하는 데 사용됐던 요주의 멀웨어다. 그런데 이것이 다시 나타나 유통되고 있다는 건 누군가 제펄린과 비슷한 기능 및 특성을 가진 랜섬웨어를 만들어 대여 사업을 시작했다는 뜻이 될 수 있다.
[이미지 = gettyimagesbank]
램프(RAMP) 범죄 포럼에서 판매되고 있어
제펄린이 판매되고 있다는 걸 제일 먼저 발견한 건 이스라엘의 보안 업체 켈라(KELA)다. 지난 12월 한 공격자가 렛(RET)이라는 이름을 사용해 제플린2의 소스코드를 램프(RAMP)라는 포럼에서 판매하고 있는 걸 발견했다. 램프는 러시아어를 기반으로 한 사이버 범죄 포럼으로, 바북(Babuk)이라는 랜섬웨어의 정보 공개 사이트를 호스팅한 적이 있는 곳이다.
얼마 지나지 않아 렛은 “램프 회원 중 한 명에게 소스코드를 팔았다”고 밝혔다.
켈라의 위협 연구 국장인 빅토리아 키빌레비치(Victoria Kivilevich)는 “렛이라는 인물이 제펄린의 소스코드를 어떤 식으로 확보한 것인지는 아직 명확히 알 수 없다”며 “렛의 설명에 의하면 우연히 제펄린의 빌더를 얻게 됐고, 이를 크랙하는 데 성공한 것 뿐이라고 한다”고 말한다. “이런 설명만으로는 부족하죠. 다만 렛은 자신이 원 개발자가 아니라는 것을 힘주어 강조한 것으로 알려져 있습니다. 랜섬웨어 사건에 엮이기 싫은 눈치입니다.”
이번에 판매되고 있는 제펄린은 오리지널 버전의 약점들을 보완한, 새 버전인 것으로 보인다고 켈라는 분석하고 있다. 오리지널 제펄린은 암호화 알고리즘에 몇 가지 취약점을 가지고 있었고, 이 때문에 보안 업체 유닛221B(Unit221B)는 제펄린을 크랙하여 2년 동안 피해자들을 소리 소문 없이 돕고 있었다. 원 제펄린 운영자들은 이 사실을 모르고 있다가 최근 알게 된 것으로 알려져 있다.
키빌레비치는 “현재까지 제펄린 소스코드에 대해 얻을 수 있는 정보는 소스코드의 스크린샷 뿐”이라고 말한다. “이것만 가지고는 코드가 진짜인지 가짜인지, 제대로 작동하는 것인지 아닌지를 명확히 확인하기는 힘듭니다. 참고로 렛은 최소 두 개의 사이버 범죄 포럼에서 다른 이름으로도 활동하는 것으로 보이는데, 평판이 나쁘지는 않은 것으로 보였습니다. 즉 이번에 판매하는 것도 진본 혹은 제대로 작동하는 버전일 가능성이 높다는 것이죠.”
제펄린, 과거의 영광을 찾나
제펄린은 2019년까지만 하더라도 왕성하게 활동하던 랜섬웨어였다. 베가록커(VegaLocker)라는 더 먼 과거의 랜섬웨어에서부터 출발한 것으로 보인다. 베가록커나 제펄린 모두 델파이라는 프로그래밍 언어로 만들어졌다. 2022년 8월 미국의 사이버 보안 전담 기관인 CISA와 FBI는 제펄린의 침해지표와 각종 공격 전략을 공개했고, 이 때부터 제펄린의 활동량은 줄어들기 시작했다.
당시 국방 계약 업체, 제조업체, 교육 기관, 기술 기업 등이 제펄린의 공격에 당했었다. 특히 의료 분야에서의 피해가 상당했던 것으로 CISA는 파악하고 있다. 제펄린은 수천 달러에서 1백만 달러까지 돈을 요구했던 것으로 알려져 있다. 키빌레비치는 “누군가 이 코드를 구매했다면 공격에 활용할 것이고, 따라서 당시와 비슷한 상황들이 계속 연출될 것”이라고 경고한다.
“멀웨어의 소스코드가 유출된 사례는 과거에도 여러 가지가 있습니다. 소스코드를 획득한 공격자들은 반드시 그것을 가지고 자신들만의 무기를 만들어 공격을 감행했습니다. 그냥 수집을 목적으로 소스코드를 사는 사람은 없다는 것이죠. 투자한 만큼 벌고자 하는 게 공격자들의 목적입니다. 콘티(Conti) 랜섬웨어의 소스코드가 유출됐을 때도 그랬고, 미라이(Mirai)가 유출됐을 때도 그랬으며, 하이브(Hive)가 공개됐을 때도 그랬습니다. 예외가 없습니다.”
키블레비치는 “의아한 건 가격”이라고 설명한다. “렛이라는 자 혹은 단체가 왜 이 유명한 랜섬웨어의 소스코드를 단돈 500달러에 파는지 알 수가 없습니다. 어쩌면 제펄린을 정말로 우연히 갖게 되었고, 따라서 그 가치를 잘 몰랐을 수도 있습니다. 아니면 이번 제펄린 버전이 생각보다 질이 낮을 수도 있고요. 본인 스스로가 밝히지 않는 이상 우리는 영원히 모르겠지만요.”
글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 제펄린(Zeppelin)이라는 이름의 러시아산 랜섬웨어의 소스코드가 최근 다크웹에서 500달러에 판매되기 시작했다. 제펄린이라고 하면 과거 미국의 여러 기업과 단체들을 침해하는 데 사용됐던 요주의 멀웨어다. 그런데 이것이 다시 나타나 유통되고 있다는 건 누군가 제펄린과 비슷한 기능 및 특성을 가진 랜섬웨어를 만들어 대여 사업을 시작했다는 뜻이 될 수 있다.
[이미지 = gettyimagesbank]
램프(RAMP) 범죄 포럼에서 판매되고 있어
제펄린이 판매되고 있다는 걸 제일 먼저 발견한 건 이스라엘의 보안 업체 켈라(KELA)다. 지난 12월 한 공격자가 렛(RET)이라는 이름을 사용해 제플린2의 소스코드를 램프(RAMP)라는 포럼에서 판매하고 있는 걸 발견했다. 램프는 러시아어를 기반으로 한 사이버 범죄 포럼으로, 바북(Babuk)이라는 랜섬웨어의 정보 공개 사이트를 호스팅한 적이 있는 곳이다.
얼마 지나지 않아 렛은 “램프 회원 중 한 명에게 소스코드를 팔았다”고 밝혔다.
켈라의 위협 연구 국장인 빅토리아 키빌레비치(Victoria Kivilevich)는 “렛이라는 인물이 제펄린의 소스코드를 어떤 식으로 확보한 것인지는 아직 명확히 알 수 없다”며 “렛의 설명에 의하면 우연히 제펄린의 빌더를 얻게 됐고, 이를 크랙하는 데 성공한 것 뿐이라고 한다”고 말한다. “이런 설명만으로는 부족하죠. 다만 렛은 자신이 원 개발자가 아니라는 것을 힘주어 강조한 것으로 알려져 있습니다. 랜섬웨어 사건에 엮이기 싫은 눈치입니다.”
이번에 판매되고 있는 제펄린은 오리지널 버전의 약점들을 보완한, 새 버전인 것으로 보인다고 켈라는 분석하고 있다. 오리지널 제펄린은 암호화 알고리즘에 몇 가지 취약점을 가지고 있었고, 이 때문에 보안 업체 유닛221B(Unit221B)는 제펄린을 크랙하여 2년 동안 피해자들을 소리 소문 없이 돕고 있었다. 원 제펄린 운영자들은 이 사실을 모르고 있다가 최근 알게 된 것으로 알려져 있다.
키빌레비치는 “현재까지 제펄린 소스코드에 대해 얻을 수 있는 정보는 소스코드의 스크린샷 뿐”이라고 말한다. “이것만 가지고는 코드가 진짜인지 가짜인지, 제대로 작동하는 것인지 아닌지를 명확히 확인하기는 힘듭니다. 참고로 렛은 최소 두 개의 사이버 범죄 포럼에서 다른 이름으로도 활동하는 것으로 보이는데, 평판이 나쁘지는 않은 것으로 보였습니다. 즉 이번에 판매하는 것도 진본 혹은 제대로 작동하는 버전일 가능성이 높다는 것이죠.”
제펄린, 과거의 영광을 찾나
제펄린은 2019년까지만 하더라도 왕성하게 활동하던 랜섬웨어였다. 베가록커(VegaLocker)라는 더 먼 과거의 랜섬웨어에서부터 출발한 것으로 보인다. 베가록커나 제펄린 모두 델파이라는 프로그래밍 언어로 만들어졌다. 2022년 8월 미국의 사이버 보안 전담 기관인 CISA와 FBI는 제펄린의 침해지표와 각종 공격 전략을 공개했고, 이 때부터 제펄린의 활동량은 줄어들기 시작했다.
당시 국방 계약 업체, 제조업체, 교육 기관, 기술 기업 등이 제펄린의 공격에 당했었다. 특히 의료 분야에서의 피해가 상당했던 것으로 CISA는 파악하고 있다. 제펄린은 수천 달러에서 1백만 달러까지 돈을 요구했던 것으로 알려져 있다. 키빌레비치는 “누군가 이 코드를 구매했다면 공격에 활용할 것이고, 따라서 당시와 비슷한 상황들이 계속 연출될 것”이라고 경고한다.
“멀웨어의 소스코드가 유출된 사례는 과거에도 여러 가지가 있습니다. 소스코드를 획득한 공격자들은 반드시 그것을 가지고 자신들만의 무기를 만들어 공격을 감행했습니다. 그냥 수집을 목적으로 소스코드를 사는 사람은 없다는 것이죠. 투자한 만큼 벌고자 하는 게 공격자들의 목적입니다. 콘티(Conti) 랜섬웨어의 소스코드가 유출됐을 때도 그랬고, 미라이(Mirai)가 유출됐을 때도 그랬으며, 하이브(Hive)가 공개됐을 때도 그랬습니다. 예외가 없습니다.”
키블레비치는 “의아한 건 가격”이라고 설명한다. “렛이라는 자 혹은 단체가 왜 이 유명한 랜섬웨어의 소스코드를 단돈 500달러에 파는지 알 수가 없습니다. 어쩌면 제펄린을 정말로 우연히 갖게 되었고, 따라서 그 가치를 잘 몰랐을 수도 있습니다. 아니면 이번 제펄린 버전이 생각보다 질이 낮을 수도 있고요. 본인 스스로가 밝히지 않는 이상 우리는 영원히 모르겠지만요.”
글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)