유럽 엔드포인트 보안 기업 이셋(ESET)은 사회 주요 기반시설을 공격하는 낫페트야(Not-Petya) 랜섬웨어의 변종 ‘배드래빗(Bad Rabbit)’ 랜섬웨어가 유럽을 중심으로 확산되고 있어 주의를 요한다고 밝혔다.
배드래빗은 인기 높은 사이트의 보안 취약점을 이용해 HTML 본문이나 .js 파일에 특정 스크립트를 삽입한 후 해당 사이트 방문자를 대상으로 한 드라이브 바이 다운로드 방법으로 감염된다. 설치된 다운로더가 C&C 서버와의 통신을 통해 랜섬웨어를 다운로드한 후 실행된다.
현재 C&C 서버는 동작을 멈춘 상태로 응답을 하지 않는다. 다운로더는 사이트 방문자의 관심을 끌만한 페이지에 삽입돼 있으며, 플레시 플레이어 업데이트를 유도하는 페이지와 함께 install_flash_player.exe 파일이 설치된다. 이 파일이 배드래빗 랜섬웨어 드로퍼다.
배드래빗 랜섬웨어는 낫페트야 랜섬웨어와 마찬가지로 SMB 공유 서비스를 통해 확산되지만 이터널 블루 취약점은 사용하지 않는다. 내부 네트워크에서 열려있는 SMB 공유 서비스를 검색하고, mimikatz 해킹 도구를 이용해 감염된 컴퓨터에서 계정 정보를 수집한 후 확산에 이용한다.
파일 암호화는 드라이브 암호화에 사용되는 오픈소스 소프트웨어인 디스크크립토를 이용하며, CryptGenRandom로 생성된 암호화 키는 하드코딩된 RSA 2048 공개키로 암호화해 보관한다. 암호화된 파일은 확장자가 .encrypted 이며, 낫페트야 랜섬웨어와 마찬가지로 AES-128 를 사용한다.
현재까지 파악된 배드래빗 랜섬웨어 감염 분포는 러시아가 65%로 가장 높으며, 우크라이나 12.2%, 불가리아 10.2%, 터키 6.4%, 일본 3.8%, 기타 2.4% 이며, 악성 스크립트를 포함하는 웹 사이트의 분포도와 거의 일치한다.
김남욱 이셋코리아 대표는 “배드래빗 랜섬웨어 또한 손상된 웹 사이트를 통해서 감염되는 것으로 알려져 있다. 따라서 웹 사이트 방문시 추가 프로그램의 다운로드에 더욱 주의를 기울여야 하며, 웹 브라우저 수준의 악성코드 보호 솔루션은 랜섬웨어 피해를 예방하는데 큰 도움을 줄 수 있다. 아울러 SMB 를 이용한 파일 공유 서비스를 사용하는 환경에서는 랜섬웨어 감염 확산 뿐만 아니라 파일 공유 서비스를 이용하는 원격지 PC 에 의한 공유 폴더 내 파일 암호화 방지에도 각별한 주의가 필요하다”고 말했다.
