지난 1분기와 다르게 2분기 랜섬웨어 유포방식과 감염형태는 사용자 및 안티 바이러스 업체를 전방위적으로 압박 하였다. 이러한 현상은 이후에도 이어질 전망이다. 피해가 많았던 랜섬웨어들의 유포방식과 감염형태의 변화는 다음과 같다.


[1] GandCrab Magniber 유포방식 및 감염 형태 변화



국내 랜섬웨어 피해상황은 지난 분기 대비 샘플 및 감염보고 건수 모두 상승 하였다. 샘플 수량은 1분기 대비 11.8% 증가 하였고, 감염보고 건수는 15.7% 증가 하였다. 감염보고 건수는 아래 그래프에 나타난 대로 4, 5월에 집중 되었으며 원인은 GandCrab 랜섬웨어로 확인 되었다. 샘플수량 건수는 3, 4월 감소 하였는데 이는 Magniber 랜섬웨어의 유포 중단으로 확인 되었다.


[그림1] 2017/ 2018년 상반기 랜섬웨어 통계 (샘플 및 감염보고 건수)

 



다음 [그림2] 2018년 상반기 주요 랜섬웨어 감염 추세를 보면서 GandCrab 증가와 Magniber 감소 원인

에 대하여 설명하고자 한다.

 



[그림2] 2018년 상반기 주요 랜섬웨어 감염 추세



위 그래프에서 보이는 것과 같이 Magniber 3월에 자사에서 공개한 복호화 툴의 영향으로 추정 되는 원인으로 410일 쯤부터 유포를 중단 하였다. 이후 6월초까지 약 2개월간 모습을 보이지 않았다. 이 빈자리를 GandCrab 이 차지 하였고 공격자는 Magniber 유포방식 (취약점 공격 도구인 Magnitude Exploit Kit 과 인터넷에 삽입된 광고를 통한 악성코드 유포방식인 멀버타이징 기법)을 그대로 사용하면서 랜섬웨어만 변경 하였다. GandCrab 은 올해 1월에 처음 발견 되었고 위에서 언급한대로 다양한 경로로 유포 되었다. 특히 Magniber 의 빈자리를 차지 하면서는 File -> Fileless 형태로 감염형태를 전환 하기도 하였다. 짧은 기간 동안 급격히 증가 했던 GandCrab 6월초 Magniber 랜섬웨어로 다시 교체 되기까지 약 2달 동안 멀버타이징 방식으로 유포 되었다.


6월초 약 2달만에 모습을 보인 Magniber 는 이전과 다르게 공격자의 공개키로 대칭키를 암호화하여 복호화에 필요한 정보를 감추었다. 따라서 기존에는 파일 내부에 키값을 가지고 있어 이를 이용하여 암호화된 파일의 복호화가 가능 했지만 6월초부터 현재까지 유포되고 있는 Magniber 에 의해 암호화된 파일은 분석을 통해서는 복호화 할 수 없다. 복호화 정보를 감추는 것 이외에 분석을 방해할 목적으로 문자열 난독화 강화 및 진단을 우회하려는 목적으로 Fileless 감염형태로도 전환 되었다.

 

1분기에도 언급 했듯이 국내 랜섬웨어 피해는 매우 국지적인 양상을 보이고 있다. GandCrab 의 폭발적인 증가는 국내 뿐만 아니라 세계적으로 2분기에 큰 이슈가 되었다. 여기에 한국어 윈도우만 (참고로 7월초부터 발견되는 Magniber 는 한국어를 포함하여 8개 언어를 추가로 더 확인 한다. 여기에는 중국어, 대만, 홍콩, 말레이시아어 등이 추가 되었다.) 노리는 Magniber 2개월의 휴식기를 가지고 기존보다 더 고도화 되어 모습을 드러냈다. 1분기까지 왕성하게 활동 했던 Matrixran 랜섬웨어는 그 자리를 Hermes 랜섬웨어로 내주었으며 Hermes 1분기 대비 감염건수는 22% 감소 했지만 샘플수량은 200% 가량 증가 하였다. 이는 변형이 증가 했지만 피해가 비례하여 증가 되지 않았음을 뜻 한다.


다음은 상반기 랜섬웨어 샘플수량에 대한 Top10 비율이다. 작년부터 올해 1분기 까지 가장 많은 비율을 차지 했던 Magniber 1위에서 물러나고 그 자리를 GandCrab 이 차지 하였다. 다양한 유포 방식과 변형의 등장으로 2분기 증가한 것이 그 원인으로 확인 되었다. RansomCrypt 유형은 1분기 까지는 파일의 외형을 똑같이 하여 의도적으로 분류 및 통계를 속이려는 랜섬웨어 변형을 지칭 하였다. 그러나 2분기에는 주요 랜섬웨어들이 Fileless 형태로 전환 되거나 지속적으로 사용 했던 컴파일러 외형을 다른 형태로 사용하면서 해당 진단명은 랜섬웨어 행위를 갖는 악성코드의 대표 진단명으로 자리 잡았다. 여기에는 새롭게 발견 되었지만 확산이 매우 적어 별도의 진단명을 부여하지 않는 랜섬웨어들이 포함 된다.



[그림3] 2018년 상반기 랜섬웨어 Top 10 샘플 비율



1분기 대비 2분기에는 랜섬웨어 신규 샘플과 피해건수가 증가하였다. 다양한 유포방식과 함께  감염행태를 Fileless 로 전환하여 자신을 더 교묘히 감추어 사용자 및 안티 바이러스 진단으로부터 자신을 깊숙히 숨긴다. 앞서 얘기한 GandCrab Magniber 는 다양한 유포방식과 감염형태로 하반기에도 피해가 멈추지 않을 것으로 전망된다.()

  

Posted by 분석연구팀