랜섬웨어 공격 방식 업데이트: CryptXXX와 Cerber

게시일: 2016-05-27 l 작성자: Trend Micro

새로 등장한 두 가지 랜섬웨어의 공격 방식이 또 다시 업데이트 되었습니다. 4월에 처음 발견된 CRYPTXXX는 현재 제공되고 있는 복호화 툴을 우회하기 위한 새로운 암호화 알고리즘이 추가되었습니다. Cerber 랜섬웨어의 경우, denial-of-service(DDoS) 항목이 추가되어 위험성이 높아졌습니다.

CryptXXX 3.0

이전 버전과 마찬가지로, CryptXXX 3.0은 사용자 컴퓨터의 레지스트리를 바이러스 고유의 키로 변경하여 악성코드가 시스템을 관리할 수 있도록 합니다. 그 후 컴퓨터의 인터넷 연결을 리다이렉트하거나, 팝업 광고를 실행하거나, 또는 민감한 정보까지 수집하여 Comman&Control(C&C) 서버로 전송합니다.

스팸메일의 첨부파일이나 악성 웹사이트를 통해 확산하는 방식 외에, CryptXXX는 앵글러 익스플로잇 킷(Angler Exploit Kit)에 의해 배포됩니다. 앵글러 익스플로잇 킷은 어도비 리더, 자바 스크립트, 실버라이트, 어도비 플래시 플레이어와 같은 대중적인 소프트웨어의 보안 취약점을 스캔하여 이를 악용하는 도구입니다. 해당 익스플로잇 킷은 2015년도에 가장 많이 사용된 것으로 보고되었으며, 악성광고 활동과 연결되어 7ev3n, TeslaCrypt와 같은 랜섬웨어, PoS 악성코드은행 트로이목마 등을 운반하는 것으로 알려져 있습니다.

CryptXXX에 감염될 경우, 해당 악성코드는 컴퓨터의 로컬, 이동식, 네트워크 드라이브를 스캔하여 저장된 모든 파일을 암호화하고, .crypt 확장자를 추가하여 사용자가 파일에 접근하지 못하도록 합니다. 암호화가 완료되면, 화면을 잠그고 바탕화면 이미지를 몸값요구 메시지가 포함된 이미지로 변경합니다. 해당 이미지에는 피해자가 파일을 복호화하기 위해 어떻게 돈을 지불해야 하는지 설명되어 있습니다. 또한 피해자는 Tor 브라우저를 사용하여 비트코인으로 돈을 지불해야 합니다. 금액은 적게는 미화500달러부터 2,100달러까지 이릅니다.

보안 전문가들은 CryptXXX의 1.0 ,2.0 버전을 복호화하는 툴을 만들어, 피해자들이 몸값을 지불하지 않고 데이터를 복구할 수 있도록 제공하였습니다. 하지만 CryptXXX 3.0의 경우, 새로운 암호 알고리즘이 추가되어 기존 활용되고 있는 복호화 툴로 복구가 불가능합니다.

4월 말, 세계적인 장난감 브랜드인 Maisto의 웹사이트가 악성 자바 스크립트에 감염되어 CryptXXX를 다운로드시키는 앵글러 익스플로잇 킷을 자동으로 설치하였습니다. 5월 초에는 엔터테인먼트 뉴스 포털이 감염되어, 악성광고를 띄우기도 하였습니다. 해당 악성광고를 클릭하면 랜섬웨어를 운반하는 악성코드가 다운로드 되어 사용자의 컴퓨터가 감염됩니다.

TeslaCrypt 랜섬웨어가 공격을 중단하게 되면서, 사이버 공격자들의 대다수가 CryptXXX 공격 방식으로 옮겨가는 추세로 파악됩니다.

Cerber의 DDoS 능력

Cerber(트렌드마이크로는 RANSOM_CERBER.A로 발견)는 악성코드에 의해 다운로드 된 파일 또는 악성 웹사이트 방문을 통해 시스템을 감염시킵니다. 해당 랜섬웨어는 일반적으로 뉴클리어 익스플로잇 킷(Nuclear Exploit Kit)을 활용한 악성광고에 의해 배포됩니다. 뉴클리어 익스플로잇 킷은 2015년도에 두 번째로 많이 사용된 툴입니다. 뉴클리어는 자바, 어크로뱃 리더, 어도비 플래시 플레이어, 애플 퀵타임 등의 패치되지 않은 소프트웨어를 통해 공격하는 것으로 알려져 있습니다.

Cerber랜섬웨어는 사용자의 파일을 암호화 한 뒤, 1.24~2.48 비트코인(미화 557~1,114달러, 2016년 5월 4일)을 요구합니다. 몸값 요구 메시지를 화면으로 표시하는 게 아니라, 읽어주는(말하는) 것이 특징입니다. 지난 주에 발견하여 분석한 Cerber는 윈도우 스크립트 파일(Windows Script File)을 사용하여 이중 압축한 뒤 스팸 메일 첨부파일로 전송되었습니다. WSF를 활용하였기 때문에 이메일 클라이언트의 스팸 필터와 일부 보안 소프트웨어가 탐지하지 못하였으며, 이로 인해 메일 수신자는 안전한 메일이라 여겨 첨부된 인보이스를 열어 보게 됩니다.

최근 Cerber의 개발자는 악성코드에 DDoS 항목을 추가하여 위험도를 더 높였습니다. 파일을 암호화하거나 컴퓨터를 잠그는 대신, 새로운 Cerber 랜섬웨어는 감염된 컴퓨터에 botnet을 추가하여 DDoS공격을 실시합니다.

Invincea의 연구원들이 보고한 바와 같이, 이러한 종류의 Cerber는 악성코드를 실행 및 운반하는 악성 비주얼 베이직 스크립트를 이용하여 랜섬웨어를 MS 워드 파일에 심어 놓습니다. 감염이 될 경우, 피해자의 시스템은 접근이 불가능하게 되고, 동시에 모든 시스템 서비스를 거부하게 됩니다.

또 다른 랜섬웨어인 Takahiro Locker(트렌드마이크로는 RANSOM_TAKALOCKER.A로 분석)가 최근 많이 발견되고 있습니다. 특정 시장이나 사용자를 목표로 공격하는 것은 아니지만, 몸값 요구 메시지가 일본어로 적혀있습니다. 감염 후 악성코드는 다음과 같은 팝업 메시지를 띄웁니다. “Warning Running Kill Me!” 그 후, “Help Form”으로 연결되어, 돈을 어떻게 지불할 수 있는지를 안내합니다. CryptXXX 와 Cerber와 유사하게, Takahiro Locker는 악성 이메일 첨부파일과 URL로 유입되며, 미디어 파일(이미지, 음악, 비디오), 아카이브(7-Zip, RAR), PDF와 토렌트 파일을 암호화 합니다. 흥미로운 것은, 게임과 연관된 Origin과 Steam의 디렉터리는 암호화 하지 않으며, 휴지통이나 프로그램 파일(Program Files) 폴더에 있는 데이터는 암호화되지 않습니다.

FBI의 권고사항에 따라, 피해자가 돈을 지불하는 것이 데이터의 완벽한 복구를 보장하지 않습니다. 최근 보고된 바에 따르면, CryptXXX 3.0의 피해자가 돈을 지불했지만, 제공받은 복호화 키가 파일의 암호를 해제하지 못한 채 단순히 에러 메시지만 띄웠다고 합니다.

랜섬웨어는 한 번 감염되면, 복구가 어렵습니다. 따라서, 트렌드마이크로는 사용자들이 사전 예방을 철저히 하고, 보안 소프트웨어를 구축하는 것을 권장합니다.

트렌드마이크로에서 제공하는 랜섬웨어에 대한 자세한 정보를 얻고 싶다면 링크를 클릭해주세요: 랜섬웨어 대응센터


원문: CryptXXX and Cerber Ransomware Get Major Updates