최근 가상화폐의 시세 상승에 힘입어 사이버 범죄자들의
비즈니스 모델이 가상화폐 채굴로 집중되고 있는 듯 하다. 그러나 국내에서는 2018년 1분기 랜섬웨어로 인한 피해는 줄어들지 않았다. 특히,
2017년 하반기에 등장한 매그니베르로 인한 피해가 가장 컸다.
이 글에서는 2018년 1분기 국내에 영향을 미친 랜섬웨어와 그 특징에 대해 살펴본다.
2017년 3분기말 케르베르(Cerber) 랜섬웨어가 활동을 중단하면서 국내 랜섬웨어 피해도 한풀 꺾일 것으로 예상했다. 그러나 2017년
10월 중순 동일한 취약점 공격 도구인 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 사용하여 유포되는
‘매그니베르(Magniber, Magnitude와 Cerber의 합성어)’ 라는 새로운 랜섬웨어가 2018년 1분기까지 국내에 많은 피해를
입혔다. 그러나 4월 25일 현재 매그니베르도 소강 상태로 접어들었다. 반면 4월초부터는 갠드크랩(GandCrab)’이라고 명명된 랜섬웨어가
기승을 부리고 있다.
국내외 언론보도에 따르면 랜섬웨어는 최근 전세계적으로 그 세력과 피해가 주춤한 것으로 알려지고 있다. 사이버 범죄자들의 비즈니스 모델은
가상화폐의 시세 상승에 힘입어 랜섬웨어에서 가상화폐를 채굴 하는 악성코드(이하 코인 마이너, Coin Miner) 제작과 유포에 더 집중을 하고
있는 것으로 확인되었다. 안랩도 ASD(AhnLab Smart Defense) 시스템을 통해서 코인 마이너류 악성코드의 폭발적인 증가를 체감하고
있다. 그러나 국내 랜섬웨어 피해 상황은 이러한 추세와 달리 매우 국지적인 감염율 증가 현상을 보이고 있다. 다만, 주요 신규 랜섬웨어의 발견은
감소한 편으로, 2017년 4분기부터 2018년 1분까지의 신규 랜섬웨어는 22건이며, 이는 2017년 3분기의 42건이 발견 된 것과 대비해
47% 감소하였다.
안랩에 접수된 2018년 1분기 랜섬웨어 샘플 수는 22만6580건으로, 2017년 4분기의 28만9552건보다 22% 감소했다. 그러나
2018년 1분기 감염 보고 수치인 리포트 수량은 2017년 4분기 대비에 173% 증가한 것으로 확인되었다. 이는 케르베르 활동 중단으로
인하여 2017년 9월 ~ 10월은 샘플과 감염보고 수는 급감했지만, 10월 중순부터는 매그니베르로 교체되면서 감염 보고 건수도 서서히 증가한
것이 원인이다.
[그림 1] 랜섬웨어 샘플 및 감염 보고 건수 (2017년 1월 ~ 2018년 3월)
케르베르와 매그니베르 랜섬웨어의 감염 추세를 비교해보면 매그니베르가 얼마나 짧은 기간 동안 폭발적인
감염율을 보였는지를 알 수 있다([그림 2] 참고). 매그니베르는 2017년 중순 경 처음
발견되었고, 2018년 4월 중순까지 약 7개월 동안 활동했다. 짧은 기간 동안 이처럼 높은 감염율을
보인 것은 온라인 광고를 통해서 악성코드 설치를 유도하는 멀버타이징(Malvertising) 기법과
기존의 케르베르 랜섬웨어 유포에 사용 되었던 J스크립트(Jscript) 및
VB스크립트(VBScript) 엔진 취약점(CVE-2016-0189)을 그대로 악용하였기 때문이다.
또, 2018년 4월초부터는 비교적 최근에 알려진 어도비 플래쉬 취약점(CVE-2018-4878)을
함께 악용했다.
[그림 2] 케르베르와 매그니베르 랜섬웨어 감염 증가 추이(2017년 1월 ~ 2018년 3월)
이렇게 맹위를 떨치던 매그니베르 랜섬웨어도 약 7개월 정도의 활동을 끝으로 자취를 감췄다. 안랩은
해당 랜섬웨어를 유포하는 멀버타이징(Malvertising) 관련 사이트와 취약점 공격 도구의 유포,
실행 방식 변화를 끊임없이 추적했다. 또한 2018년 3월에는 매그니베르 랜섬웨어 복호화 가능성을
파악한 후 암호화된 파일을 복호화 할 수 있는 도구를 개발하여 무료로 공개했다.
앞서 국내 랜섬웨어는 국외와는 달리 매우 국지적으로 활발한 감염율 증가 추세를 보였다고 언급한 바
있다. 여기에는 매그니베르와 유사한 외형을 가지고 있는 랜섬웨어들도 한몫을 차지했다. 유사한 외형이란
동일한 패커(Packer)를 이용하여 제작한 것으로, 이 경우 PE 바이너리는 모두 같은 유형을 갖게
된다. 유사한 외형의 랜섬웨어 배포 목적은 주로 안티 바이러스의 진단을 우회하고 통계나 동향을
파악하기 어렵게 하는 것이다.
[그림 3] 매그니베르 유사 외형 랜섬웨어 감염수 (2017년 10월 ~ 2018년 3월)
매그니베르 유사 외형 랜섬웨어는
매트릭스(Matrix), 헤르메스(Hermes), 세이지크립트(SageCrypt) 등이 있다([그림
3]) 참고. 2018년 1분기까지는 헤르메스 랜섬웨어가 주로 보고되었으며, 주로 어도비 플래시
취약점을 이용해 해당 사이트를 방문하는 사용자를 노렸다. 일부 랜섬웨어는 스팸메일 형태로도
유포되었다. 이는 온라인 광고로 감염을 유도하는 멀버타이징 기법과는 달랐다. 해당 랜섬웨어들이
처음부터 매그니베르와 동일한 패커를 사용하지는 않았으나, 혼란을 주기 위해 동일한 패커를 사용한 것은
비교적 최근에 발견되었다.
그러나 이 가운데 랜섬크립트(RansomCrypt)로 명명된 랜섬웨어는 매그니베르, 갠드크랩,
헤르메스 랜섬웨어를 모두 아우르는 진단명으로, 확실하게 의도된 외형을 가진 것으로 확인되었다. 이중
갠드크랩 랜섬웨어는 2018년 초 처음 알려졌는데, 취약점 공격 도구의 쇠퇴 흐름에도 불구하고
그랜드소프트 익스플로잇 킷(GrandSoft Exploit Kit)이라고 불리는 신규 공격 도구를
통해 국외에서 최초 유포가 되었다. 국내에서는 해당 공격 도구는 사용 되지 않았고 스팸메일 형태로
지원서와 이미지 도용과 같은 내용이 포함된 메일에 첨부파일로 유포되었다. 이 유포 방식도 현재 계속
되고 있는 것으로 확인 되었다. 더불어 앞서 언급한대로 갠드크랩 랜섬웨어는 4월 초부터는 매그니튜트
익스플로잇 킷을 이용하여 자신을 유포한다.
[그림 4]는 1분기 랜섬웨어 샘플 수량에 대한 Top10 비율이다. 2017년 4분기에는 케르베르와
록키 랜섬웨어 순으로 많은 비율을 차지했다. 반면 2018년 1분기에는 매그니베르가 큰 비율을
차지하고 있지만 4월 초에는 드디어 종적을 감췄다. 특히, 동일한 익스플로잇 킷으로 유포된 케르베르
랜섬웨어가 1년 9개월 동안 활동한 것과 달리 매그니베르는 약 7개월간 활동하는 것에 그쳤다. 이
자리는 현재 갠드크랩이 차지했으며 케르베르나 매그니베르 랜섬웨어와는 달리 더욱 교묘하게 유포 경로
추적을 어렵게 하거나 실행을 감춘다.
[그림 4] 2018년 1분기 주요 랜섬웨어 Top 10 샘플 비율
2018년 1분기 랜섬웨어 동향을 정리하면, 신종 랜섬웨어는 감소하는 추세지만 공격자의 국지적인 활동으로 인해 랜섬웨어의 피해는 증가하는
양상으로 변모하였다. 공격자는 우리나라 사용자를 노리고 있고 랜섬웨어를 바꿔가면서 계속 피해를 극대화하고 있다. 이를 토대로 주요 국내 랜섬웨어
유포 양식은 의뢰자가 원하는 설정으로 유포와 제작을 도와주는 RaaS(Ransomware-as-a-Service) 형태를 띄고 있는 것으로
추정된다.
공격자는 2년 넘게 온라인 광고를 통해 악성코드를 유포했으며, 동일한 매그니튜드 익스플로잇 킷과 취약점(CVE-2016-0189)을 사용하고
있다. 반면, 신규 취약점(CVE-2018-4878)을 매그니튜드 익스플로잇 킷에 적용한 지는 얼마 되지 않았다. 이는 그 동안 오래된 취약점이
효과적으로 사용 되었다 라는 걸 의미한다. 이 글을 읽고 있다면 지금이라도 늦지 않았다. 즉시 인터넷 익스플로러와 어도비에 대한 보안 업데이트를
실행해야 한다.
[출처 : 안랩((www.ahnlab.com)]