랜섬웨어뉴스

갠드크랩(GandCrab) 랜섬웨어가 업그레이드 됐다. 보안 업체 소포스 랩스(Sophos Labs)는 최근 운영해오던 허니팟으로 갠드크랩 공격이 들어오는 것을 목격했는데, 특이하게도 3306/tcp 포트를 통과한다는 걸 발견했다. 3306/tcp는 SQL 데이터베이스 서버를 위한 디폴트 포트다.

“공격자는 SQL 명령어를 통해 MySQL 데이터베이스를 직접 겨냥했습니다. 그러면서 데이터베이스에 DLL을 하나 설치하고, 연속해서 작은 파일들을 업로드 하더군요. 결국에는 SQL 명령어를 사용해 갠드크랩 랜섬웨어 페이로드를 설치하는 데 성공했습니다. 데이터베이스 서버를 랜섬웨어로 감염시킨 것이죠.”

여기서 한 가지 주의해야 할 건 “이번 공격에 MySQL 서버가 활용되고 있는 건 사실이지만 서버 자체가 공격의 표적은 아니라는 것”이다. 브랜트는 “공격자들에게 있어 서버 내에 저장된 정보는 전혀 관심거리가 아닌 것처럼 보인다”고 설명한다. “DB 서버의 데이터를 조작하려 한다거나, 빼돌린다거나, 심지어 열람을 하려는 시도조차 없었습니다.”

갠드크랩은 ‘대여’ 형태로 범죄자들 사이에서 퍼지고 있다. 즉 갠드크랩 개발자가 거래를 통해 멀웨어를 다른 범죄자들에게 넘겨줌으로써, 해킹 도구를 만들거나 다룰 능력이 없는 범죄자들도 사이버 공격에 참여할 수 있게 하는 것이다. SQL 서버를 활용하는 이번 업그레이드도 일종의 ‘상품 업그레이드’의 일환으로 진행된 것으로 보인다.

[ 보안뉴스 ] 문가용 기자​원문보기