랜섬웨어뉴스

악명 높은 랜섬웨어인 갠드크랩(GandCrab)의 개발자들은 올해 ‘은퇴’를 발표했었다. 그들의 발표에 따르면, 18개월 만에 20억 달러가 넘는 돈을 벌었기 때문에 더 이상 활동하지 않아도 된다는 것이었다. 물론 은퇴를 진지하게 믿은 사람은 아무도 없었다.​

최근 보안 업체 시큐어웍스(Secureworks)가 이 은퇴자의 것으로 강력하게 의심되는 흔적을 찾아냈다. “갠드크랩의 배후 세력인 것으로 알려진 골드 가든(Gold Garden)이 새로운 랜섬웨어를 만들어 활동하는 것으로 보입니다. 이 랜섬웨어의 이름은 레빌(REvil)이며, 최근 파괴적인 모습을 보이고 있습니다.”

갠드크랩이 사라진 빈 자리를 레빌이 빠르게 차지하기 시작했다. 시큐어웍스는 레빌을 조사하면서 배후에 있는 자들에 골드 사우스필드(Gold Southfield)라는 이름을 붙였다. 그러면서 여러 가지 특징을 파악해낼 수 있었다. “먼저는 갠드크랩처럼 대여 형태로 배포되는 랜섬웨어였습니다. 또한 레빌을 대여한 사용자들은 오라클 웹로직(Oracle WebLogic) 익스플로잇, 악성 스팸, 피싱 이메일, 침해된 MSP 등의 방법을 동원해 레빌을 퍼트리고 있었습니다.”​

초기에 확보한 레빌 샘플을 분석했을 때 시큐어웍스 측은 코드에서 꽤나 많은 부분이 갠드크랩과 겹친다는 걸 알 수 있었다. 우연이라고 하기 힘들 정도였다. “예를 들어 레빌의 문자열 복호화 기능은 갠드크랩의 복호화 기능과 거의 완벽하게 똑같았습니다. 두 랜섬웨어가 C&C URL을 구축하는 방법과 로직도 같았습니다. 그 외에도 초기 레빌 버전은 차라리 업그레이드 된 갠드크랩이라고 보는 편이 맞을 정도로 흡사했습니다.” 그 외에도 갠드크랩과 레빌은 러시아의 시스템은 공격하지 않는다는 특징을 가지고 있기도 했다.

보안 업체 멀웨어바이츠(Malwarebytes) 역시 레빌을 추적해오고 있는데, “레빌은 경쟁력 높은 이 랜섬웨어 시장에서 꽤나 큰 성공을 거두고 있다”며 “갠드크랩이 사라진 자리를 완벽하게 차지하고 있다”고 설명한다. “갠드크랩은 랜섬웨어 역사에 기록될 수준의 성공을 거둔 멀웨어입니다. 그런 공격을 실시한 자들이 은퇴를 할 리가 없습니다. 애초부터 의심스러운 발언이었고, 그것이 레빌로 증명되고 있는 것입니다.”​

[ 보안뉴스 ] 문가용 기자​원문보기