.gif)
영수증과 인보이스 가장한 스팸 메일 통해 두 개 악성 페이로드 번져
메일 배포 시간대와 일반 근무 시간대 겹쳐...최대한 감염자 수 늘리려
[보안뉴스 문가용 기자] 사이버 범죄자들이 스팸 공격을 한 단계 진화시켰다. 한 공격에 랜섬웨어를 두 개 담아낸 것으로, 최근 공격에서는 록키(Locky)와 페이크글로브(FakeGlobe)가 사용되는 것이 발견됐다. 이렇게 하는 목적은 피해자를 압도하기 위함이다.
[이미지 = iclickart]
보안 업체 트렌드 마이크로(Trend Micro)의 보안 전문가들은 9월 초 록키 랜섬웨어의 새로운 변종이 스팸 이메일을 타고 번져가는 현상을 발견한 바 있다. 록키는 2016년 초에 처음 등장한 랜섬웨어로 현재까지 계속해서 모양을 바꿔가며 피해자들을 찾아다니고 있다. 그 결과 약 70여개 국가에서 감염자들이 발생했다.
그러한 록키가 이번엔 페이크글로브라는 다른 랜섬웨어 패밀리와 얽혔다. 둘이 번갈아가며 피해자를 공격하는 원리다. 스팸 이메일이 첨부된 악성 링크를 클릭하는 순간 피해자는 록키에 한 시간 동안 감염됐다가 페이크글로브에 재차 공격을 받는 식이다. 이 공격을 받는 시스템은 두 개의 랜섬웨어에 걸린다는 것 외에도 또 다른 랜섬웨어 공격에 재감염 될 확률도 높아져 위험하다고 한다.
가짜 이메일은 인보이스나 영수증처럼 위장되어 거래가 잦은 이메일 사용자의 경우 무심코 열어볼 확률이 높다. 첨부파일에 내재되어 있는 스크립트는 링크를 통해 다운로드 되는 아카이브 내에 있는 것과 흡사하다. 다만 실제 바이너리와 연결되는 URL은 다르다. 하나는 록키고 다른 하나는 페이크글로브다.
록키와 페이크글로브는 번갈아 시스템에 올라탄다. 즉, 록키가 암호화시킨 파일을 페이크글로브가 한 차례 더 암호화 한다는 것. 피해자 입장에서는 돈을 두 배로 내거나 파일을 영원히 떠나보내야 한다. 이는 “돈을 내고 말자”라는 선택지를 강제하기 위해 공격자들이 생각해낸 방법이라고 보인다.
트렌드 마이크로의 CSO인 에드 카브레라(Ed Cabrera)는 “랜섬웨어와 같은 공격에서 가장 중요한 변수는 속도와 충격”이라고 말한다. “즉 피해자가 정신을 차려서 냉정하게 생각하지 못하게 만드는 것이 랜섬웨어 공격자들의 주요 전략이라는 겁니다. 그래야 자신들이 돈을 받을 확률이 높아지죠.”
현재 이러한 ‘곱빼기 공격’에 가장 많은 피해를 본 지역은 일본(25%)과 중국(10%)인 것으로 나타났다. 미국도 9%로 만만치 않았다. 그 외에도 70개 국가에서 이러한 공격이 발견되었다. 주요 공격 시간은 근무 시간대와 겹쳐, 공격자들이 최대한 많은 사람들을 감염시키기 위해 활동하고 있음도 드러났다.
“활동 시간대나 공격방식을 보면 확실히 금전적인 목적을 이루기 위한 공격임을 알 수 있습니다. 충격을 두 배로 주려고 한다거나, 많은 사람들이 깨어 있고 이메일을 확인하는 시간대를 노린다거나... 사람이 많이 몰리는 곳을 노리는 테러리스트들이나 다를 바가 없습니다.”
한 공격 캠페인에 여러 멀웨어가 동원되는 예가 있긴 하지만 이번 공격처럼 랜섬웨어가 번갈아 감염을 진행하도록 한 사례는 처음이다. 이는 개개인에게보다 기업체들에게 더 심각한 피해를 끼칠 수 있다. 카브레라는 “업체들은 이러한 랜섬웨어 공격이 돌아다니고 있다는 걸 파악하고, 이에 대한 전략을 짜둘 필요가 있다”고 권고한다.
[국제부 문가용 기자(globoan@boannews.com)]
메일 배포 시간대와 일반 근무 시간대 겹쳐...최대한 감염자 수 늘리려
[보안뉴스 문가용 기자] 사이버 범죄자들이 스팸 공격을 한 단계 진화시켰다. 한 공격에 랜섬웨어를 두 개 담아낸 것으로, 최근 공격에서는 록키(Locky)와 페이크글로브(FakeGlobe)가 사용되는 것이 발견됐다. 이렇게 하는 목적은 피해자를 압도하기 위함이다.
[이미지 = iclickart]
보안 업체 트렌드 마이크로(Trend Micro)의 보안 전문가들은 9월 초 록키 랜섬웨어의 새로운 변종이 스팸 이메일을 타고 번져가는 현상을 발견한 바 있다. 록키는 2016년 초에 처음 등장한 랜섬웨어로 현재까지 계속해서 모양을 바꿔가며 피해자들을 찾아다니고 있다. 그 결과 약 70여개 국가에서 감염자들이 발생했다.
그러한 록키가 이번엔 페이크글로브라는 다른 랜섬웨어 패밀리와 얽혔다. 둘이 번갈아가며 피해자를 공격하는 원리다. 스팸 이메일이 첨부된 악성 링크를 클릭하는 순간 피해자는 록키에 한 시간 동안 감염됐다가 페이크글로브에 재차 공격을 받는 식이다. 이 공격을 받는 시스템은 두 개의 랜섬웨어에 걸린다는 것 외에도 또 다른 랜섬웨어 공격에 재감염 될 확률도 높아져 위험하다고 한다.
가짜 이메일은 인보이스나 영수증처럼 위장되어 거래가 잦은 이메일 사용자의 경우 무심코 열어볼 확률이 높다. 첨부파일에 내재되어 있는 스크립트는 링크를 통해 다운로드 되는 아카이브 내에 있는 것과 흡사하다. 다만 실제 바이너리와 연결되는 URL은 다르다. 하나는 록키고 다른 하나는 페이크글로브다.
록키와 페이크글로브는 번갈아 시스템에 올라탄다. 즉, 록키가 암호화시킨 파일을 페이크글로브가 한 차례 더 암호화 한다는 것. 피해자 입장에서는 돈을 두 배로 내거나 파일을 영원히 떠나보내야 한다. 이는 “돈을 내고 말자”라는 선택지를 강제하기 위해 공격자들이 생각해낸 방법이라고 보인다.
트렌드 마이크로의 CSO인 에드 카브레라(Ed Cabrera)는 “랜섬웨어와 같은 공격에서 가장 중요한 변수는 속도와 충격”이라고 말한다. “즉 피해자가 정신을 차려서 냉정하게 생각하지 못하게 만드는 것이 랜섬웨어 공격자들의 주요 전략이라는 겁니다. 그래야 자신들이 돈을 받을 확률이 높아지죠.”
현재 이러한 ‘곱빼기 공격’에 가장 많은 피해를 본 지역은 일본(25%)과 중국(10%)인 것으로 나타났다. 미국도 9%로 만만치 않았다. 그 외에도 70개 국가에서 이러한 공격이 발견되었다. 주요 공격 시간은 근무 시간대와 겹쳐, 공격자들이 최대한 많은 사람들을 감염시키기 위해 활동하고 있음도 드러났다.
“활동 시간대나 공격방식을 보면 확실히 금전적인 목적을 이루기 위한 공격임을 알 수 있습니다. 충격을 두 배로 주려고 한다거나, 많은 사람들이 깨어 있고 이메일을 확인하는 시간대를 노린다거나... 사람이 많이 몰리는 곳을 노리는 테러리스트들이나 다를 바가 없습니다.”
한 공격 캠페인에 여러 멀웨어가 동원되는 예가 있긴 하지만 이번 공격처럼 랜섬웨어가 번갈아 감염을 진행하도록 한 사례는 처음이다. 이는 개개인에게보다 기업체들에게 더 심각한 피해를 끼칠 수 있다. 카브레라는 “업체들은 이러한 랜섬웨어 공격이 돌아다니고 있다는 걸 파악하고, 이에 대한 전략을 짜둘 필요가 있다”고 권고한다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)