JIGSAW 랜섬웨어, 지불을 위한 고객지원을 시작하다

게시일: 2016-06-15 l 작성자: Trend Micro

잘 갖춰진 고객지원은 비즈니스 성공을 위한 필수 항목입니다. 랜섬웨어 비즈니스도 예외가 아닙니다. 크립토 랜섬웨어의 개발자가 피해자의 랜섬 지불 프로세스를 단순화한 것은 놀라운 일이 아닙니다. 금번 확인된 JIGSAW 랜섬웨어의 변종에는 새로운 기능이 발견되었습니다. 바로, 랜섬 지불을 위해 다크 웹(Dark Web) 사이트를 이용하는 것이 아닌, 라이브 채팅을 통해 피해자와 소통한다는 것입니다.

새로운 변종(Ransom_JIGSAW.H로 탐지)은 이전 JIGSAW 랜섬웨어 공격과 유사한 점이 많습니다.


그림 1. JIGSAW 랜섬 메시지

하지만 이번 변종이 다른 JIGSAW 랜섬웨어와 구분되는 점은, 바로 라이브 채팅을 지원한다는 것입니다. 그림 1에서 볼 수 있듯이, 라이브 채팅으로 연결할 수 있는 링크를 제공합니다.

그림 2. JIGSAW 라이브 채팅 지원

사이버 범죄자들은 피해자가 채팅을 원할 시, 이에 답변할 수 있는 지원 인력을 실제 배치하고 있습니다. 답변 지원 내용이 어느 정도인지 파악하기 위해 당사에서는 ‘JIGSAW에 감염된 뉴욕 거주 직장인’으로 가장하여 연락을 시도해보았습니다. 다음의 대화는 JIGSAW 고객지원과 소통한 편집되지 않은 실제 내용입니다. (좌측: 트렌드마이크로, 우측: 사이버 범죄자)

How can I help you

can you really decrypt my files?

yes
its automatic
on payment is received all you have to do is click that you made payment
and the system will verify instantly

why are you guys doing this to us?

I am here to help you get your files back.
Let me know if you need any other instructions or help

im doomed!
my boss gonna fired me

all you have to do is pay $150. New york has Bitcoin atms
or you can visit www.localbitcoins.com

thats too much for me

sorry. depending on the amount of files encrypted it doubles to $300 after 24 hours and $450 after 72
it doesnt happen to all computers it depends on the file size encryption

is there a way to lower na payment?

We can do $125
that the minimum
and that is within 24 hours

let me see if i can work this with my boss

just send a message if we are not online we will come back online within 10 minutes
And we do decrypt all you files
100%
you have to message me when you make the payment so I can accept the $125 into the system if not it will tell you you haven’t payed enough. Each wallet is unique to the computer so I can verify instantly

이 JIGSAW 변종 배후의 사이버 범죄자는 저용 채팅 플랫폼을 개발하지 않았습니다. 대신, 일반적으로 사용되고 있는 채팅 플랫폼인 onWebChat을 사용합니다. onWebChat 클라이언트를 호출하는 스크립트가 웹사이트에 포함되어 있습니다. onWebChat 서버로의 연결은 SSL / TLS 암호화로 보호되기 때문에, 암호화 된 트래픽을 차단하는 프록시가 존재하지 않는 상황에서 트래픽 패킷 캡처 및 차단을 어렵게 하고 있습니다. 트렌드마이크로는 해당 이슈에 대하여 onWebChat에 안내했으며, 해결 중에 있습니다.

흥미로운 점은, 라이브 채팅을 지원하는 측에서 피해자가 정확히 언제 감염된 것인지 알지 못한다는 것입니다. JIGSAW 타이머는 감염 PC의 cookie 설정에 따르므로, cookie가 삭제되면 카운트 다운이 재설정 되어 초기 24시간으로 돌아갑니다. 즉, 랜섬의 금액은 사용자가 얼마나 정직하게 감염된 시기를 알려주는지에 달린 것입니다.

사이버 범죄자의 이 같은 고객 중심 서비스는 예상 외의 성과를 거두고 있는 것으로 확인되었습니다. 랜섬웨어 피해자들은 파일이 암호화 된 경우 즉각적인 지원을 받을 수 있기 때문에 랜섬을 지불할 확률이 증가합니다. 당사는 이것을 권장하지 않습니다.

또 한가지 주목할 만한 점은, 라이브 채팅을 호스팅하는 웹사이트를 분석하던 중 또 다른 악성코드가 동일한 웹사이트를 이용하고 있다는 것을 확인했습니다. 하지만 해당 악성코드는 단순한 화면잠금형 악성코드이기 때문에 안전모드로 부팅 시 쉽게 우회하여 제거할 수 있는 것입니다.

그림 3. JIGSAW 관련 잠금화면

이러한 유사점이(동일 웹사이트, “Ransom ID”의 사용, 동일한 랜섬 요구)을 살펴보았을 때, 이 두 공격의 배후가 동일하다는 것을 파악할 수 있습니다.

랜섬웨어 공격에서 이와 같은 “고객 중심”의 접근은 흔치 않지만, 전례가 없었던 것은 아닙니다. 예를 들어, CTB(Curve-Tor-Bitcoin) Locker의 변종은 사용자의 파일을 무료로 복호화 해주기도 하였습니다.

트렌드마이크로의 대응

트렌드마이크로는 대기업, 중소기업 및 개인 사용자가 크립토 랜섬웨어의 피해를 최소화할 수 있는 대응책을 제공합니다.

대기업은 다층방어를 통해 단계별 위협 보안을 구성할 수 있습니다. Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.


원문: JIGSAW Crypto-Ransomware Turns Customer-Centric, Uses Chat for Ransom Attempts