※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.
30여종의 신규 랜섬웨어 중 Coronavirus, Snake, Ravack, Mailto, Ako 등 악명
상당수의 랜섬웨어가 ‘코로나19’ 키워드 악용해 사용자들의 감염 성공률 높여
코로나19 사태가 전 세계를 휩쓴 올해 1분기에는 사이버 상에서도 코로나 이슈를 악용한 사이버공격이 많이 등장했습니다. 랜섬웨어 공격도 마찬가지였는데, 코로나19 정보 관련 문서로 위장한 랜섬웨어 실행파일 유포사례가 다수 발견됐습니다.
[이미지=utoimage]
한국인터넷진흥원(KISA)이 발표한 ‘2020년 1분기 랜섬웨어 동향분석’ 보고서에 따르면 올해 1분기에 발견된 신규 랜섬웨어는 Snake, Ako 등 30여 종에 달하는 것으로 조사됐습니다. 특히, 해당 랜섬웨어들은 코로나19 관련 문서로 위장하거나 랜섬웨어 스스로 코로나바이러스 등의 명칭으로 변경하는 등 코로나 키워드를 지속적으로 악용해온 것으로 드러났습니다.
또한, 2020년 1분기에는 Sodinokibi와 Nemty 등 기존 랜섬웨어의 변종이 다수 출현했으며, 외국 정부와 민간 기업 등 대상을 가리지 않는 공격이 다수 발생했습니다. 이와 더불어 환전·송금 기업과 은행전산 업무지원 기업 등 다양한 기업의 랜섬웨어 감염 사례가 발견됐습니다. 올해 1분기 발견된 신규 랜섬웨어 가운데 Coronavirus, Snake, Ravack 등 주목할 만한 5가지를 중점적으로 확인해야 합니다.
1. Coronavirus 랜섬웨어
최근 심각한 사회적 이슈인 코로나19 사태로 인하여 세계적 관심이 집중되고 있는 가운데 특히 Coronavirus라는 캠페인 코드를 사용하는 랜섬웨어가 유포되고 있습니다. 코로나바이러스 랜섬웨어는 악성 웹사이트나 이메일 첨부파일 형태로 유포되며, 공격자는 복구를 위한 비용으로 0.008비트코인을 요구하고 있습니다.
2. Snake 랜섬웨어
1분기 주요 검색엔진에서 랜섬웨어 연관검색어로 확인된 신규 랜섬웨어중 하나인 Snake 랜섬웨어가 주목을 받고 있습니다. 이 랜섬웨어는 감염시 암호화된 파일내용의 마지막에 SNAKE의 알파벳 역순인 EKANS라는 문자를 남깁니다. Snake 랜섬웨어의 특이한 점으로는 구글에서 개발된 프로그래밍 언어 ‘고(Go)’를 사용하여 개발됐으며, 산업제어 시스템에서 사용되는 프로세스 등을 종료시키는 기능을 담고 있다는 점입니다.
Snake 랜섬웨어에 감염되면 프로세스를 일부 종료시키며, 감염된 시스템의 파일을 암호화하게 됩니다. 이때 랜섬웨어가 종료를 시도하는 프로세스는 주로 산업제어 프로그램에서 사용되는 프로세스들이 다수 포함되어 있습니다. 또한, 기존 랜섬웨어에서 일반적으로 사용되는 난독화 방식과는 다른 방식을 사용하고 있는 점도 특징이라고 할 수 있습니다.
3. Ravack 랜섬웨어
올해 1분기에는 불법 소프트웨어를 유포하는 전문채널을 운영하는 유튜버에 의해 랜섬웨어가 유포되기도 했는데, 이 랜섬웨어가 바로 ‘Ravack’입니다. ‘Ravack’을 유포한 유튜버는 12만 구독자를 가진 해외 유튜버로, 영상을 통해 불법 소프트웨어 자료에 랜섬웨어를 포함시켜 유포했습니다. 해당 소프트웨어는 랜섬웨어를 실행파일 내부에 포함하고 있어 소프트웨어 설치과정에서 랜섬웨어와 악성코드가 생성되고 실행되는 것으로 분석됐습니다. 최근까지도 해당 불법소프트웨어가 지속적으로 유포되고 있으나 백신 등에 랜섬웨어 포함 여부가 탐지되지 않아 각별한 주의가 필요합니다.
4. Mailto 랜섬웨어
Mailto 랜섬웨어는 지난 2019년 8월경 처음 발견된 랜섬웨어로 2020년 1분기(2020.01.01.~2020.03.31.) 구글트렌드 랜섬웨어 상승 연관검색어 4위에 포함된 악성코드입니다. Mailto 랜섬웨어에 감염될 경우 파일 확장자에 .mailto[숫자, 알파벳 5글자] 형식의 문자열이 추가됩니다. Netwalker로도 알려져 있는 랜섬웨어로, 일부 의료관련 기관에 코로나19 관련 정보를 위장한 이메일 첨부파일로 공격을 시도한 사례가 발견됐습니다.
5. Ako 랜섬웨어
Ako 랜섬웨어는 1월초에 처음 발견된 랜섬웨어로 2020년 1분기(2020.01.01.~2020.03.31.) 구글 트렌드 랜섬웨어 연관검색어 5위에 포함된 악성코드로, 일부 변종의 경우 토르(Tor) 브라우저를 설치하고 특정 사이트로 접속할 것을 요구하는 경우도 있습니다. 일부 사례에서는 협정서라는 이름으로 첨부파일을 위장해 사용자가 실행하도록 유도하는 경우도 발견됐습니다.
출처 : 보안뉴스
![[주간 IT/보안뉴스] 2024년 4월 셋째주 ‘사이버 위기에 따른 보안 시스템 고도화’](https://pplus.co.kr/wp-content/uploads/2024/04/300-20240419-title-500x383.png)
![[주간 IT/보안뉴스] 2024년 4월 둘째주 ‘세계로 뻗어 나가는 K보안…솔루션·서비스 범위 확대’](https://pplus.co.kr/wp-content/uploads/2024/04/300-20240411-title-500x383.png)