크립토월 업데이트와 새로운 랜섬웨어 패밀리의 출현

게시일: 2015-11-23 l 작성자: Trend Micro

랜섬웨어의 위협은 단순히 증가만 하는 것이 아니라 확장되고 있는 추세입니다. 최근에는 기존의 크립토 랜섬웨어 변종들의 업데이트에 관한 보고가 급증하였고 전혀 새로운 루틴의 세 가지 신종 랜섬웨어 패밀리가 발견되기도 하였습니다. 우리는 위협의 급증과 사이버범죄자들이 Deep Web의 활용과 같은 새로운 기술들로 툴박스를 업데이트하면서 이러한 위협들이 더 큰 문제로 발전할 수 있음을 이미 예측한 바 있습니다.

랜섬웨어에 관한 최신 정보:

  • Crytowall 4.0: 11월 5일 발견된 새로운 크립토월 업데이트는 크립토 랜섬웨어 변종의 통신 기능을 향상시키고 코드를 업데이트하여 더 많은 취약점을 악용할 수 있게 하였습니다. 이 외에도 업데이트에는 잠행 기능이 강화된 프로토콜도 포함되어 있는 것으로 보고되었습니다.

  • Power Worm: 파워웜(Power Worm) 랜섬웨어의 새로운 변종은 제작자의 프로그래밍 오류로 인해 암호화 프로세스에 결함이 있는 것으로 밝혀졌습니다. 이 랜섬웨어의 결함은 사이버범죄자들이 사용자에게 금품을 요구하기 위해 볼모로 잡고 있어야 하는 암호화 키를 없애버립니다. 즉 암호화된 파일들이 영구적으로 암호화되어 복구가 불가능합니다. 금품을 지불해도 소용이 없으며 백업만이 유일한 해결책입니다.

  • Offline Ransomware: 지난해 초 러시아의 사용자들을 표적으로 한 이 랜섬웨어는 C&C 서버에 접속하지 않고도 오프라인에서 루틴을 실행할 수 있습니다. 암호화 프로세스에서 만들어지는 RSA 공개키를 암호화된 파일들의 메타데이터에 저장하기 때문에 오프라인 실행이 가능하며 피해자가 비용을 지불하고자 할 때 공격자의 이메일 주소로 한 개 이상의 암호화된 파일을 전송하면 공격자가 해당 파일에 저장된 공개키를 기반으로 암호해제 프로그램을 제작할 수 있습니다.

  • Chimera: 전혀 새로운 유형의 랜섬웨어인 Chimera는 금품 갈취에 협박이 추가된 형태입니다. 사용자의 파일을 볼모로 잡는 데서 끝나지 않고 비용을 지불하지 않으면 파일을 온라인상에 공개하겠다고 위협합니다. 하지만 이 멀웨어를 분석한 자료에 의하면 멀웨어가 직접 무언가를 훔치거나 암호화된 파일을 클라우드로 전송하지는 못하며 일종의 공포 수법으로 밝혀졌습니다.

  • Linux Webserver Ransomware: 마지막으로, 발견된 랜섬웨어 변종은 사용자의 하드드라이브가 아닌 웹사이트를 표적으로 하는 새로운 형태였습니다. 사이트 플러그 인이나 제3 소프트웨어의 취약점을 통해 웹사이트에 침투하는 이 멀웨어는 호스트 시스템을 감염시키고 시스템의 홈 디렉터리에 있는 모든 파일들을 암호화합니다. 그리고 웹 사이트와 관련이 있는 시스템 폴더의 모든 파일들과 백업 디렉터리를 암호화합니다. 현재 이 멀웨어가 요구하는 비용은 1BTC 또는 미화 420달러입니다.

랜섬웨어는 현대의 위협 환경에서 보안 업계가 직면하게 되는 가장 심각한 위협일 것입니다. 따라서 우리는 이러한 위협을 방지하거나 근절하기 위한 노력을 강화해야 하며 그렇지 않으면 랜섬웨어를 막기 위한 보안 업체들과 더 위험하고 포착하기 힘든 변종을 제작하는 사이버 범죄자들간 기술 경쟁을 계속 지켜봐야 할 것입니다.

우리는 새로운 멀웨어를 발견하고 발견된 랜섬웨어에 대한 업데이트를 제공하기 위한 노력을 멈추지 않을 것입니다.

랜섬웨어 대응센터 바로가기 ▶



원문: Cryptowall Updates, New Families of Ransomware Found