본문바로가기

홈 > 커뮤니티 > 랜섬웨어뉴스

랜섬웨어뉴스

[ 보안뉴스 ] 월요일을 여는 ‘소디노키비 랜섬웨어’ 공격 3종 세트

2019-05-28 09:03:11

       

한주의 시작인 월요일 오전, 회의 등으로 바쁜 직장인들을 노린 랜섬웨어 공격이 3건이나 발견돼 각별한 주의가 요구된다. 공격 메일은 내용은 서로 다르지만 같은 랜섬웨어인 ‘소디노키비(Sodinokibi)’를 전파하는 공격이었다.

 

먼저, 첫 번째는 피해자를 당황하게 만들어 첨부파일을 확인하도록 하는 일종의 사회공학적 공격으로, 최근 사회적 이슈가 되고 있는 ‘성범죄’와 관련된 공격이다. ‘강간 사건에 대한 경찰 소환’이란 제목으로 발송된 메일은 ‘미성년자 강간에 대한 피의자 증인이며, 심문을 위해 5월 31일까지 경찰서에 출두하라’는 내용이 담겨 있다. 

 

‘헌법재판소’를 사칭한 두 번째 메일은 ‘어떤 이유’인지는 알리지 않고 무조건 헌법재판소에 출두해야 하며, 참석하지 못하거나 변호사를 고용할 경우 첨부된 서류를 참조하라며 역시나 첨부파일 확인을 유도한다. 

 

마지막 세 번째 공격은 ‘소포 배송이 지연됩니다’란 이름으로 발송된 메일로 DHL Express Korea를 사칭했는데, 홈페이지에서나 볼 수 있는 DHL 관련 이미지까지 포함돼 있어 얼핏 보면 그럴 듯해 보인다. 이번 이메일은 잘못된 세관 신고로 인해 배송이 지연되고 있다며, 관련문서 및 연락처를 보려면 첨부파일을 확인할 것을 유도하고 있다. 첨부파일에는 ‘선적 서류.jpg’란 이름의 첨부파일이 담겨 있는데, 이번 첨부파일 역시 소디노키비 랜섬웨어로 확인됐다. 

 

이번 3개의 공격이 모두 같은 공격조직에서 감행한 것인지, 아니면 우연찮게 각기 다른 공격조직이 소디노키비 랜섬웨어를 이용해 공격을 한 것인지는 알 수 없다. 하지만 3개의 공격 모두 한글 사용에 큰 무리가 없으며(꼼꼼하게 보면 작은 문제는 보인다), DHL 사칭의 경우 사진까지 사용해 한국 사용자를 노렸기 때문에 출처가 불분명한 사람이 보낸 이메일의 경우 첨부파일은 가급적 다운로드하거나 클릭하지 말고 삭제하는 것이 좋다. 

 

[ 보안뉴스 ] 원병철 기자원문보기