백업 데이터까지 삭제하는 ‘소디노키비’ 랜섬웨어 활개
상태바
백업 데이터까지 삭제하는 ‘소디노키비’ 랜섬웨어 활개
  • 김선애 기자
  • 승인 2019.07.11 16:55
  • 댓글 0
이 기사를 공유합니다

이스트시큐리티 “갠드크랩 조직 소행으로 추정…국가기관·금융기관·보안 담당자 위장해 사용자 속여”

[데이터넷] 백업 데이터까지 삭제하는 소디노키비(Sodinokibi) 랜섬웨어가 활개치고 있다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 소디노키비 랜섬웨어는 파일을 암호화 할 뿐 아니라 백업 파일까지 삭제한다.

이 랜섬웨어는 악명높은 갠드크랩 랜섬웨어 공격조직이 연관돼 있을 것으로 추정되고 있으며, 오라클 웹로직 서버의 제로데이 취약점을 통해 유포된다. 갠드크랩 랜섬웨어 운영자는 지난 6월 블랙마켓에 운영 중단을 선언했으며, 이후 무료 복호화 툴 까지 공개됐다. 소디노키비는 이보다 앞서 4월 경 부터 유포되기 시작했다.

한편 이스트시큐리티가 2분기 ‘알약’을 통해 차단한 랜섬웨어는 24만7727건에 이르며, 하루 평균 2723건이 차단된 것으로 분석됐다. 이는 공개용 알약의 ‘랜섬웨어 행위기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지까지 포함하면 전체 공격은 더욱 많다고 볼 수 있다.

ESRC 센터장인 문종현 이사는 “소디노키비 랜섬웨어가 공격방식, 코드 유사점, 활용하는 서브도메인, 감염제외대상 언어팩, 연결되는 유포 시기 등 여러가지 면에서 기존 갠드크랩 랜섬웨어와 유사한 형태를 띠고 있다”며 “이러한 점으로 미루어보아 소디노키비 랜섬웨어는 갠드크랩 랜섬웨어와 동일한 공격 그룹이 운영하는 것으로 판단된다”고 말했다.

한편 최근 랜섬웨어 공격 빈도는 크게 감소하고 있는데, 갠드크랩 랜섬웨어가 줄어들었으며, 암호화폐 채굴 악성코드가 주로 채굴하는 모네로(XMR) 암호 화폐 시세가 상승하면서 마이닝 악성코드가 줄어든 것도 중요 요인이 되는 것으로 보인다.

한번 이번 분기에 주로 발견된 랜섬웨어는 다음과 같다.

◆브이엑스크립터(vxCrypter)= .NET 기반 랜섬웨어로, 브이엑스락(vxLock)이라는 오래된 랜섬웨어를 기반으로 만들어졌다. 암호화된 각 파일의 SHA256 해시를 추적해 같은 SHA256 해시가 발견되면 파일을 삭제한다.

◆로빈후드(RobbinHood)= 네트워크 전체를 공격 타깃으로 하며, 암호화를 해제하는 조건으로 비트코인을 요구한다. 피해자의 프라이버시를 보호해준다고 주장하면서, 랜섬머니를 지불한 피해자를 공개하지 않을 것이라는 내용을 강조한다. 공격자에게 메시지를 보내거나 10MB 이하의 파일 3개를 무료로 복호화 해주는 TOR 사이트 링크가 랜섬노트에 포함된다.

◆다르마(Dharma)= 이셋의 AV 리무버를 사용해 주의를 끌어, 백그라운드에서 하드웨어 파일을 암호화한다. 스팸 메일을 통해 타깃 컴퓨터로 전달되며, 다르마 드로퍼 바이너리를 포함한 Defender.exe을 유포한다.

◆세이드(Shade)= 악성 스팸 이메일을 통해 배포되며, 아카이브 파일로 연결되는 링크 또는 파일을 첨부하거나, 인보이스로 위장한 PDF 파일을 첨부한다. 이러한 링크와 첨부파일은 랜섬웨어 실행 파일을 다운로드하는 자바스크립트 또는 기타 스크립트 기반 파일로 연결된다.

◆메가 코텍스(MegaCortex)= 영화 매트릭스 테마를 이용한 랜섬웨어로, 감염되면 사용자 PC 화면에 매트릭스의 모피어스 캐릭터를 연상시키는 랜섬노트가 나타나며, 손상된 도메인 컨트롤러에서 리버스 쉘을 생성하기 위한 코볼트 스트라이크(Cobolt Strike)를 배포하고, 원격으로 도메인 컨트롤러에 접근하여 PsExec 복사본, 악성코드 실행 파일 및 배치 파일을 감염된 네트워크의 모든 컴퓨터에 배포하도록 구성한다.

문종현 이사는 “소디노키비 랜섬웨어나 1분기부터 기업을 타깃으로 중앙 전산 자원관리(AD) 서버를 노리고 있는 클롭(Clop) 랜섬웨어 등 이메일 첨부파일을 통한 공격이 지속되고 있다”며 “이 공격들은 주로 국가기관, 금융회사, 기업 보안담당자 메일로 위장해 첨부파일을 열어보도록 유도하고 있으며, 첨부파일을 실행하면 랜섬웨어 감염에 따른 중요 문서 암호화는 물론 기업 내부 네트워크 정보와 시스템 정보가 외부로 유출될 수 있다”고 주의를 당부했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.