랜섬웨어뉴스

가짜 윈도우 업데이트가 퍼지고 있다는 소식이다. 이를 통해 전파되는 건 실제 MS의 윈도우용 업데이트 파일이 아니라 사이보그(Cybort)라는 이름의 랜섬웨어라고 한다. 가짜 업데이트의 출처는 마이크로소프트인 것처럼 위장되어 있으며, “최신 중요 업데이트(lastest critical update)”라는 내용이 덧붙어 있다.​

이 캠페인을 발견한 보안 업체 트러스트웨이브(Trustwave)는 “지금 전파되고 있는 파일의 확장자는 .jpg이지만 실제로는 실행파일”이라고 경고했다. 파일의 이름은 그 때 그 때 무작위로 바뀌는 것처럼 보이며, 파일 용량은 28kb 정도라고 한다. 닷넷(.NET)으로 만들어진 악성 다운로더로, 추가 멀웨어를 다시 한 번 다운로드 받는 기능을 가지고 있다.

“이 파일을 받은 사람이 파일을 클릭하면 마지막 페이로드가 깃허브(GitHub)로부터 다운로드 됩니다. 이름은 bitcoingenerator.exe이며, 깃허브의 btcgenerator라는 리포지터리에 저장되어 있는 것으로 나타났습니다. 하지만 실제로는 사이보그 랜섬웨어의 페이로드 입니다.” 트러스트웨이브가 발견한 랜섬웨어 샘플의 경우, 피해자들에게 요구하는 금액이 약 500달러 정도 되는 수준이었다.

현재 랜섬웨어 시장은 두 가지로 나뉘고 있다. 제법 크고 돈이 많은 조직을 겨냥해서 노리는 표적 공격형 랜섬웨어와, 일반 소비자 다수를 대상으로 살포되는 랜섬웨어다. 이번에 발견된 캠페인의 경우 후자에 속한다. 최근 랜섬웨어 공격자들은 전자를 선호한다는 걸 생각해보면 이번 사이보그 랜섬웨어의 출현은 다소 의외라고 볼 수 있다.

사이보그는 바이러스토탈에 겨우 세 개의 샘플만 등록되었을 정도로 비교적 새롭게 출현한 편에 속하는 랜섬웨어다. 구글에 검색을 해봐도 제대로 된 정보가 나오지 않는다는 걸 알 수 있다. 랜섬웨어 복호화 키를 무료로 제공하는 노모어랜섬(NoMoreRansom) 웹사이트에도 아직 복호화 도구가 언급되지 않고 있다. 수많은 랜섬웨어처럼 잠시 스쳐갔다가 사라지는 것이 될 수도 있고, 삼삼(SamSam)이나 갠드크랩(GandCrab)처럼 유명세를 떨칠 수도 있다. 빌더가 있을 가능성이 높은 것으로 보아, 후자가 될 가능성이 높다고 트러스트웨이브는 추측한다.

[ 보안뉴스 ] 문가용 기자​원문보기