※본 글은 2019년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.


가짜 윈도우 업데이트가 퍼지고 있습니다. 마치 마이크로소프트인 것처럼 위장한 이 가짜 윈도우 업데이트는 사이보그(Cybort)라는 이름의 랜섬웨어입니다. 전파되고 있는 확장자는 28KB 정도의 jpg파일이며, 파일 이름은 그때그때 무작위로 바뀌는 것으로 보입니다. jpg 확장자를 실행할 경우 닷넷(.NET)으로 만들어진 악성 다운로더가 실행되며 추가 멀웨어를 다시 한 번 다운로드 받는 기능을 가지고 있습니다.

 


이 파일을 받은 사람이 파일을 클릭하면 마지막 페이로드가 깃허브(GitHub)로부터 다운로드 됩니다. 이름은 bitcoingenerator.exe이며, 깃허브의 btcgenerator라는 리포지터리에 저장되어 있는 것으로 나타났습니다. 하지만 실제로는 사이보그 랜섬웨어의 페이로드입니다. 트러스트웨이브가 발견한 랜섬웨어 샘플의 경우, 피해자들에게 요구하는 금액이 약 500달러 정도 되는 수준이었습니다.

이 bitcoingenerator.exe의 진짜 이름은 syborg1finf.exe입니다. 사이보그 랜섬웨어는 처음 발견된 건 아니지만 그렇다고 대단히 유명한 종류도 아닙니다. 트러스트웨이브에서 바이러스토탈(VirusTotal)을 통해 검색했을 때, syborg1finf.exe라는 이름으로 된 사이보그 샘플이 세 개 등록되어 있었습니다. 하지만 파일을 암호화한 후 붙이는 확장자 명은 세 개가 전부 달랐습니다.


트러스트웨이브는 누군가 마음먹고 이 랜섬웨어를 계속해서 개조시키고 있다는 뜻으로 풀이하고있습니다. 웹에 검색하면 ‘사이보그 빌더 랜섬웨어 1.0 버전 프리뷰’라는 유뷰브 영상이 나오는데, 영상에 걸려있는 링크를 쫓으면 빌더가 깃허브에 호스팅되어 있었다고 합니다. 이번 캠페인에서 발견된 샘플과 흡사한 버전이었습니다.

현재 랜섬웨어 시장은 두 가지로 나뉘고 있습니다. 제법 크고 돈이 많은 조직을 겨냥해서 노리는 표적 공격형 랜섬웨어와, 일반 소비자 다수를 대상으로 살포되는 랜섬웨어입니다. 이번에 발견된 캠페인의 경우 후자에 속하는 랜섬웨어입니다. 최근 랜섬웨어 공격자들은 전자를 선호한다는 걸 생각해보면 이번 사이보그 랜섬웨어의 출현은 다소 의외라고 볼 수 있습니다.

서비스형 멀웨어가 해커들 사이에서 크게 유행하고 있다는 것도 다시 한 번 드러났습니다. “물론 사이보그가 서비스형 랜섬웨어로서 공격자들 사이에 배포되고 있다는 증거는 아직 나오지 않았습니다. 다만 깃허브에 호스팅 되어 있어 누구나 사용할 수 있도록 되어 있다는 것에서 서비스형 멀웨어의 느낌이 물씬 풍깁니다. 공격자 입장에서 배포 전략만 준비하면 사이보그를 언제고 사용할 수 있게 되어 있거든요.”

사이보그는 바이러스토탈에 겨우 세 개의 샘플만 등록되었을 정도로 비교적 새롭게 출현한 편에 속하는 랜섬웨어입니다. 구글에 검색을 해봐도 제대로 된 정보가 나오지 않는다는 걸 알 수 있습니다. 랜섬웨어 복호화 키를 무료로 제공하는 노모어랜섬(NoMoreRansom) 웹사이트에도 아직 복호화 도구가 언급되지 않고 있습니다. 수많은 랜섬웨어처럼 잠시 스쳐갔다가 사라지는 것이 될 수도 있고, 삼삼(SamSam)이나 갠드크랩(GandCrab)처럼 유명세를 떨칠 수도 있습니다. 빌더가 있을 가능성이 높은 것으로 보아, 후자가 될 가능성이 높다고 트러스트웨이브는 추측합니다.

출처 : 보안뉴스

제품에 대해 궁금한 점이 있으신가요?
빠르고 정확한 답변을 도와드리겠습니다.

TEL : 031-784-8500~1
E-mail : sales@pplus.co.kr