한국을 집중 공격하는 ‘매그니베르(Magniber)’가 유포되고 있어 사용자들의 각별한 주의가 요구된다.
파이어아이에 따르면 매그니베르 랜섬웨어는 온라인 광고를 통해 유포되고 있으며, 샌드박스 시스템을 피하기 위해 가상머신에서 구동되는지 확인 하고, 그 결과를 URL 콜백으로 첨부했다.
가상머신 확인은 평균적으로 실행에 소요되는 시간을 확인하기 위해 여러 차례에 걸쳐 진행됐으며, 평균 소요 시간이 1000보다 큰 경우 해당 시스템을 가상머신으로 분류했다. 테스트가 실패한 경우 또는 멀웨어가 해당 시스템을 가상머신으로 판단한 경우에는 URL 마지막에 숫자 1을 기입하고, 가상머신이 아니라고 판단된 경우에는 숫자 0을 기입했다.
매그니베르는 아태지역을 집중 공격하는 대표적인 랜섬웨어이며, 특히 한국을 주로 공격했다. 9월 말까지 성행하다 사라졌는데, 지난 10월 15일 다시 한국만을 공격하기 시작했다. 이메일을 통해 케르베르 랜섬웨어를 유포한 공격자들은 매그니베르 랜섬웨어를 배포한 것으로 분석된다.
매그니튜드 익스플로잇 킷은 온라인 광고를 통해 악성코드를 유포하는 말버타이징의 형태로 유포되고 있다. 매그니베르는 매그니튜드(Magnitude) 랜섬웨어와 케르베르(Cerber) 랜섬웨어의 합성어로 케르베르 랜섬웨어에서 변형되어 매그니튜드 익스플로잇 킷을 통해 유포되는 것이다.
이번에 배포된 매그니베르 랜섬웨어는 국내 시스템만을 대상으로 했으며, 해당 랜섬웨어는 시스템의 언어가 한국어가 아닌 경우 실행되지 않았다.
파이어아이 관계자는 “랜섬웨어는 기업에 중대한 위협을 가하고 있다. 다수의 공격이 이메일을 통해 감행되며, 익스플로잇 킷은 지속적으로 사용자를 위협한다. 특히 오래된 소프트웨어 버전을 사용하거나 광고 차단기(ad blocker)를 사용하지 않는 유저들이 주로 공격을 받고 있다. 기업은 자사의 네트워크 노드가 완벽하게 패치 되었는지 반드시 확인해야 한다”고 말했다.
