랜섬웨어뉴스

맥아피에 의하면 소디노키비는 소딘(Sodin) 혹은 레빌(REvil)이라는 이름으로도 알려져 있으며, 현재 범죄자들 사이에서 서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS)로 공급되고 있다. 지난 4월에 처음 발견됐는데, 갠드크랩(GandCrab) 랜섬웨어 운영자들이 ‘은퇴’를 발표한 시점과 맞물린다. 보안 업체 시큐어웍스(Secureworks)의 분석에 의하면 갠드크랩을 운영하던 단체인 골드 가든(Gold Garden)이 바로 이 레빌 랜섬웨어의 운영자들이라고 한다.

소디노키비는 등장부터 심각한 위협임이 분명해 보였다. 또한 처음부터 오라클(Oracle)의 웹로직(WebLogic) 서버에서 발견된 취약점을 익스플로잇 하면서 퍼져나갔다. 그러나 그게 전부는 아니었다. 어떤 경우 윈도우의 권한 상승 버그를 익스플로잇 하기도 했었다. 즉, 여러 전략이 다양하게 구사되고 있다는 증거가 하나 둘 발견되기 시작한 것이다.

맥아피가 수집한 샘플들의 경우 0.44~0.45 비트코인을 피해자들로부터 요구하고 있었단. 이는 약 4천 달러에 해당하는 돈이다. 그러나 여태까지 발생한 피해 사례를 분석했을 때 나타난 요구 금액은 2500~5000 달러 정도다. 피해자가 지갑에 돈을 입금하면 2~3 단계를 거쳐 최종 목적지에 돈이 도달하게 되어 있다. 맥아피에 따르면 이렇게 돈이 전달되는 과정 중에 구매자와 개발자가 각각 차지할 돈이 나뉜다고 한다.

그렇다면 대여해간 사람은 얼마나 될까? 맥아피가 조사한 바에 의하면 약 41개 조직들이다. 적어도 현재 소디노키비를 활발히 활용하는 단체가 41개 된다는 뜻이다. “그렇다면 개발자들이 대여 후 3일 동안 낼 수 있는 수익이 86000 달러의 41배 정도 되는 돈이겠죠. 게다가 41개 대여자들이 어느 정도 기간 동안 활동했는지 알 수 없다는 변수도 있습니다. 즉, 86000 x 41 x ‘변수’를 곱해야 총 수익이 가늠된다는 건데요, 이미 86000 x 41만 해도 엄청난 돈입니다.”

이렇게나 많은 돈을 벌어 공격자들은 어디에 쓰는 걸까 확인해보기로 맥아피는 결정했다. 그래서 거래와 관련된 지갑들에서 벌어지는 또 다른 거래 내역을 추적했다. “대부분의 돈은 현금으로 전환해주는 환전소로 전송됐습니다. 그리고 나머지는 비트믹스와 같은 서비스로 보내져 그 후 활동을 파악할 수 없도록 하고 있었습니다. 하지만 일부 돈은 러시아의 암시장인 하이드라 마켓(Hydra Market)으로 송금되기도 했습니다. 여기서는 불법 제품들과 멀웨어들이 거래되곤 합니다. 랜섬웨어로 벌어들이는 돈이 다시 지하 시장을 활성화하는 데 사용되고 있다는 걸 알 수 있습니다.”

[ 보안뉴스 ] 문가용 기자​원문보기