러시아의 지하시장에서 거래되는 말하는 랜섬웨어 'CERBER'

게시일: 2016-03-25 l 작성자: Rhena Inocencio (Threat Response Engineert)

Attention! Attention! Attention!" (주의!주의!주의!)

"Your documents, photos, databases and other important files have been encrypted!"(당신의 문서, 사진, 데이터베이스와 기타 중요한 파일이 암호화 되었습니다!)

랜섬웨어에 의해 PC에서 중요한 파일 모두가 암호화 된 경우를 상상해보십시오. 잠시 후 '몸값'을 요구하는 메시지를 수신하고 거기에 몸값을 지불하기 전까지 암호화 된 파일은 해독되지 않는다고 써 있습니다.

"RANSOM_CERBER.A"가 나타나기 전에는 소리로 피해자에게 몸값지불을 재촉하는 랜섬웨어는 존재하지 않았습니다. 이 "RANSOM_CERBER.A"는 컴퓨터 합성 음성으로 메시지를 재생합니다.

암호화된 랜섬웨어는 일반적으로 몸값 지불 방법과 파일의 복구 방법에 대한 지침을 이미지로 표시합니다. 이 방법은 REVETON 변종이 떠오르게 합니다. 경찰을 가장한 랜섬웨어 REVETON도 사용자의 위치에 따른 언어로 "이야기"할 수 있는 악성 프로그램으로 알려져 있습니다.

트렌드마이크로의 조사에서는 CERBER는 영어만 사용합니다. 그러나 사용자가 익명 통신 시스템 "Tor"의 브라우저를 통해 링크를 클릭하면 언어 선택 페이지로 유도됩니다. 그 페이지에는 다양한 언어를 선택할 수 있도록 되어 있지만, 2016 년 3월 6일 시점에서는 영어만 볼 수 있습니다. CERBER를 조종하는 사이버 범죄자는 사용자에게 우선 1.24 비트 코인의 지불을 요구한 후 7 일 후에는 2.48 비트 코인까지 요구액을 인상합니다.

지불 요청 메시지의 샘플

그림 1 : 지불 요청 메시지의 샘플

언어 선택을 요청하는 페이지

그림 2 : 언어 선택을 요청하는 페이지

트렌드마이크로는 또한 CERBER의 구성 파일이 확장자 .json을 이용하고 있는 것을 확인했습니다. (이 파일 형식은 일반적으로 속성 값에 정의 된 데이터의 전송 및 저장시 사용되는 형식입니다. ) 구성 파일의 내용을 분석한 결과, 이 랜섬웨어는 매우 쉽게 사용자 정의가 가능하다는 것을 발견하였고 공격자가 블랙리스트 국가는 물론 협박문 등을 쉽게 변경할 수 있음을 확인하였습니다. 이는 CERBER가 금전 목적의 사이버 범죄자의 목적에 따라 설계된 것임을 나타냅니다.

CERBER의 Config 파일 코드

그림 3 : CERBER의 Config 파일 코드

CERBER의 Config 파일 코드

그림 4 : CERBER의 Config 파일 코드

트렌드마이크로의 클라우드형 보안 기반 "Trend Micro Smart Protection Network"에 따르면, Nuclear Exploit Kit 가 "Malvertisement (부정 광고)"을 이용하여 이 악성 프로그램을 유포하고 있는 것으로 확인됩니다. "Nuclear Exploit Kit"는 악명 높은 Angler Exploit Kit에 이어 오늘 가장 널리 이용되는 것 중 하나입니다.

현재 이러한 불법 광고를 호스팅하는 서버는 모든 액세스 할 수 없습니다. 보도에 따르면, CERBER는 러시아 지하시장에서 "Ransomware as a service (RaaS)", 즉 서비스로서의 랜섬웨어로 판매되고 있는 것 같습니다. 이는 위에서 기술한 Config 파일 코드에 대한 추측을 뒷받침뿐만 아니라 가까운 미래에 더 많은 CERBER의 출현을 예상할 수 있습니다.

■ 백업의 습관화

랜섬웨어 위협이 어떤 구조로 움직이는가를 아는 것은 사용자의 개인 정보나 기업의 기밀 정보를 보호하는 데 도움이 됩니다. 적어도 평소 정기적으로 중요한 파일을 백업해 두는 것이 좋습니다. 또한 중요한 점은 사이버 범죄자에 굴복하여 몸값을 지불해 버리면, 당신을 지불 능력이 있는 것으로 간주하여 다시 표적이 될 수도 있음을 명심해야 합니다. 그리고 랜섬웨어로부터 자신을 보호하기 위해 사용하는 PC를 항상 최신 상태로 유지하는 것도 중요합니다.

■ 트렌드마이크로의 대책

트렌드마이크로의 엔드 포인트 보안 제품 'Trend Micro Maximum Security' 는 이번 사례와 관련된 랜섬웨어의 변종을 탐지 및 삭제하며 악성 Web 사이트에 대한 액세스를 차단합니다.