랜섬웨어뉴스

지난해 신종 랜섬웨어 `소디노키비`와 `넴티`가 등장하면서 `갠드크랩`을 제치고 가장 많은 공격을 시도한 것으로 나타났다. 소디노키비는 헌법재판소 뿐만 아니라 공정거래위원회를 사칭해 여전히 기승을 부리고 있으며, 넴티도 기업 입사지원서 등으로 위장한 메일을 통해 유포되고 있다.​

소디노키비는 지난해 4월에 공개된 랜섬웨어로, 갠드크랩과 유사하게 이메일 첨부파일을 활용한 공격방식을 사용했다. 해킹 조직 리플라이 오퍼레이터 그룹은 `정리 해고 및 감면 목록`이라는 자극적인 제목과 더불어 이메일 주소가 스팸하우스 블랙리스트에 올라갔다는 내용의 피싱 메일을 마구 유포했다. 스팸하우스는 스팸과 피싱, 맬웨어, 봇넷 등 관련 사이버 위협을 추적하고 실시간으로 위협 및 평판 차단 목록을 제공하는 국제 비영리 단체다. NH농협은행 보안팀에서 보낸 메일이라고 사칭하기도 했다.

지난해 7월에는 공정거래위원회를 사칭한 악성 메일로 소디노키비가 유포됐다. 공정위를 사칭한 악성메일 공격은 최근까지도 이어지고 있다. `전자상거래 위반행위 조사통지서`라는 제목을 달고 특정 사무관의 이름으로 이메일이 발신돼 사용자를 현혹시킨다. 전자상거래 위반조사시 준수할 사항이라고 안내한 붙임 파일을 실행하면 소디노키비 랜섬웨어에 감염돼, 사용자 PC의 바탕화면을 파란색 화면으로 바꾸고 파일을 암호화한다.

지난해 8월말 발견된 넴티는 파일 암호화시 `nemty` 문자열이 포함된 확장자로 변경하는 랜섬웨어다. 감염된 PC의 IP, 국가정보, PC명, 사용자명, OS정보, PC ID정보를 수집해 공격자에게 전송하며 데이터 복구를 위한 쉐도우 복사본을 삭제한다.

넴티는 기업의 공개된 그룹 메일 주소에 입사지원서, 공문 등으로 위장해 네이버·한메일 등 사용자들에게 친숙한 도메인의 피싱 메일을 통해 유포됐다. 지난해 8월 말부터 새롭게 등장해 9월부터 급증했으며, 4분기에도 소디노키비와 함께 알야을 통해 많이 차단된 랜섬웨어 중 하나로 꼽혔다.

지난해 10월 넴티에 감염된 PC를 무료로 파일을 복호화할 수 있는 툴이 공개되자, 같은 달 비너스락커 조직이 경력직 입사지원서로 위장한 2.0 버전의 넴티를 대량 유포한 정황이 확인됐다. 유포된 메일은 대부분 지원자 이름을 메일 제목으로 위장했으며, 해당 메일을 받은 채용담당자나 관련자가 메일을 열어 첨부파일을 실행하면 바탕화면에는 넴티 2.0 버전에 감염됐음을 알리는 랜섬노트가 뜨게 된다.

[ 이데일리 ] 이후섭 기자​원문보기