차세대 방화벽 솔루션들로도 잡아내기 힘든 스텔스 기능
직접적인 협박 대신 복구 솔루션 팔듯이 꼬드겨
[보안뉴스 문가용] 크립토월(CryptoWall)이라는 랜섬웨어의 새로운 버전인 크립토월 4.0이 현재 돌아다니고 있다는 소식이다. 이번 버전에서 크립토월은 예전보다 훨씬 잘 숨고 잘 꼬드긴다고 한다. 이는 헤임달 시큐리티(Heimdal Security)와 비트디펜더(BitDefender)라는 정보보안 업체에서 발견했다.
이전 버전인 크립토월 3.0은 1월에 등장했으며 지금까지 약 3억 2천 5백만 달러의 피해를 전 세계적으로 입힌 것으로 알려져 있다. 크립토월 4.0은 앞으로 이를 훌쩍 뛰어넘을 것으로 보고 있다.
랜섬웨어란 것이 아무리 좋은 스텔스 기능을 가지고 있다고 해도 결국 어느 시점에 가서는 스스로 모습을 드러내야만 한다. 그래야 협박을 시작하니까 말이다. 보안 툴들은 랜섬웨어가 숨어 있을 때, 즉 랜섬웨어 본연의 기능인 협박을 시작하기 전에 찾아내는 걸 목표로 한다. 크립토월 4.0의 경우 차세대 방화벽 솔루션으로도 탐지할 수 없을 정도로 강력한 스텔스 기능을 가지고 있어 아직까지는 순조로이, 자기가 원할 때 사용자 협박을 시작할 수 있다고 한다.
또, 크립토월은 파일을 암호화하는 것만이 아니라 파일명도 암호화한다고 헤임달 시큐리티는 밝혔다. 사용자의 혼란을 가중시키기 위해서다. 혼란이 가중될 수록 사용자가 순순히 지불 협박에 응할 가능성이 높아진다는 게 정설이다.
하지만 크립토월 4.0의 진짜 놀라운 점은 돈을 요구하는 메시지, 즉 협박 메시지가 이전과는 완전히 다르다는 것이다. 피해자에게 겁을 주는 등 공포심을 일으키는 게 이전의 수법이었다면 이번 메시지는 그보다는 훨씬 부드럽다고 비트디펜더 측은 설명한다.
“범행이라는 사실을 최대한 숨기려는 것인지 일단 ‘환영사’ 같은 메시지를 전달합니다. 그 안에 물론 요구사항을 힌트처럼 숨겨놓긴 하죠. 파일을 원한다면 돈을 내라, 가 아니라 파일에 이런 이런 이상증상이 있으니 복구를 원하신다면 소프트웨어 패키지를 700달러에 하셔야 한다, 는 식으로 말입니다.”
이런 메시지 자체가 저장되는 파일 이름도 ‘당신의 파일을 도와주세요(Help_Your_Files)’이며, TXT, HTML, PNG 형식으로 저장되어 있다. 첫 문장은 “크립토월 커뮤니티의 일원이 되신 것을 환영합니다!”로 알고 보면 소름끼칠 정도로 뻔뻔하지만 처음 당하는 사람에게는 부드럽게 읽혀질 가능성이 높다. 그 후로 이어지는 메시지들은 결국 ‘논리적으로 생각해보세요’라는 의미를 함축적으로 담고 있으며, 이에는 ‘우리가 제안하지 않은 다른 방법을 사용하면 안 된다’는 행위규범도 포함하고 있다.
그러나 그렇다고 해서 메시지가 온전히 친절하기만 한 건 아니다. 결국 끝에 가서는 “이런 간단한 규칙을 못 지키신다면, 저희도 돕는 게 불가능해집니다. 저희는 분명히 경고했습니다”라고 본색을 드러내니까 말이다.
헤임달 시큐리티의 말에 따르면 “크립토 시리지의 제작자들은 소프트웨어 개발사인 것처럼 사업을 운영하고 있는 듯 합니다. 그러니 이렇게 꾸준히 업그레이드가 나오고 여러 소셜 엔지니어링 기법으로 홍보까지 하는 거겠죠. 스스로를 그렇게까지 기만할 수 있다는 게 이해가 안 가긴 합니다만...”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
직접적인 협박 대신 복구 솔루션 팔듯이 꼬드겨
[보안뉴스 문가용] 크립토월(CryptoWall)이라는 랜섬웨어의 새로운 버전인 크립토월 4.0이 현재 돌아다니고 있다는 소식이다. 이번 버전에서 크립토월은 예전보다 훨씬 잘 숨고 잘 꼬드긴다고 한다. 이는 헤임달 시큐리티(Heimdal Security)와 비트디펜더(BitDefender)라는 정보보안 업체에서 발견했다.
이전 버전인 크립토월 3.0은 1월에 등장했으며 지금까지 약 3억 2천 5백만 달러의 피해를 전 세계적으로 입힌 것으로 알려져 있다. 크립토월 4.0은 앞으로 이를 훌쩍 뛰어넘을 것으로 보고 있다.
랜섬웨어란 것이 아무리 좋은 스텔스 기능을 가지고 있다고 해도 결국 어느 시점에 가서는 스스로 모습을 드러내야만 한다. 그래야 협박을 시작하니까 말이다. 보안 툴들은 랜섬웨어가 숨어 있을 때, 즉 랜섬웨어 본연의 기능인 협박을 시작하기 전에 찾아내는 걸 목표로 한다. 크립토월 4.0의 경우 차세대 방화벽 솔루션으로도 탐지할 수 없을 정도로 강력한 스텔스 기능을 가지고 있어 아직까지는 순조로이, 자기가 원할 때 사용자 협박을 시작할 수 있다고 한다.
또, 크립토월은 파일을 암호화하는 것만이 아니라 파일명도 암호화한다고 헤임달 시큐리티는 밝혔다. 사용자의 혼란을 가중시키기 위해서다. 혼란이 가중될 수록 사용자가 순순히 지불 협박에 응할 가능성이 높아진다는 게 정설이다.
하지만 크립토월 4.0의 진짜 놀라운 점은 돈을 요구하는 메시지, 즉 협박 메시지가 이전과는 완전히 다르다는 것이다. 피해자에게 겁을 주는 등 공포심을 일으키는 게 이전의 수법이었다면 이번 메시지는 그보다는 훨씬 부드럽다고 비트디펜더 측은 설명한다.
“범행이라는 사실을 최대한 숨기려는 것인지 일단 ‘환영사’ 같은 메시지를 전달합니다. 그 안에 물론 요구사항을 힌트처럼 숨겨놓긴 하죠. 파일을 원한다면 돈을 내라, 가 아니라 파일에 이런 이런 이상증상이 있으니 복구를 원하신다면 소프트웨어 패키지를 700달러에 하셔야 한다, 는 식으로 말입니다.”
이런 메시지 자체가 저장되는 파일 이름도 ‘당신의 파일을 도와주세요(Help_Your_Files)’이며, TXT, HTML, PNG 형식으로 저장되어 있다. 첫 문장은 “크립토월 커뮤니티의 일원이 되신 것을 환영합니다!”로 알고 보면 소름끼칠 정도로 뻔뻔하지만 처음 당하는 사람에게는 부드럽게 읽혀질 가능성이 높다. 그 후로 이어지는 메시지들은 결국 ‘논리적으로 생각해보세요’라는 의미를 함축적으로 담고 있으며, 이에는 ‘우리가 제안하지 않은 다른 방법을 사용하면 안 된다’는 행위규범도 포함하고 있다.
그러나 그렇다고 해서 메시지가 온전히 친절하기만 한 건 아니다. 결국 끝에 가서는 “이런 간단한 규칙을 못 지키신다면, 저희도 돕는 게 불가능해집니다. 저희는 분명히 경고했습니다”라고 본색을 드러내니까 말이다.
헤임달 시큐리티의 말에 따르면 “크립토 시리지의 제작자들은 소프트웨어 개발사인 것처럼 사업을 운영하고 있는 듯 합니다. 그러니 이렇게 꾸준히 업그레이드가 나오고 여러 소셜 엔지니어링 기법으로 홍보까지 하는 거겠죠. 스스로를 그렇게까지 기만할 수 있다는 게 이해가 안 가긴 합니다만...”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
