'랜섬웨어 통계'에 해당되는 글 4건

  1. 2018.11.02 2018년 3분기 랜섬웨어 동향
  2. 2018.08.08 2018년 상반기 랜섬웨어 동향
  3. 2018.04.24 2018년 1분기 랜섬웨어 동향
  4. 2017.10.20 2017년 3분기 랜섬웨어 동향

2018년 3분기 샘플건수는 2분기 대비 17.7% 증가 하였고 감염 리포트 건수는 63.3% 감소 하였다. 샘플건수 증가 원인은 리포트 건수가 적어 ‘기타’ 로 분류된 랜섬웨어군 샘플 증가가 원인 이였다. 좀더 들여다 보면 새로운 랜섬웨어가 갑자기 증가 한 것은 아니며 Nabucur 랜섬웨어 같이 바이러스 증상을 갖는 유형이 만들어낸 변형이 증가 하거나 별다른 진단명이 부여 되지 않는 랜섬웨어 유형 (Ransom, FileCoder 진단명) 변형이 증가한 것이 원인 이였다. 또한 ‘기타’로 분류된 랜섬웨어군에는 이번 분기에 새로이 발견된 랜섬웨어도 포함 (Ryukran, KrakenCryptor 등) 되었다. 역시 리포트 건수는 매우 적었고 특정 사건과 연관이 되거나 기존 랜섬웨어등에서는 보이지 않았던 피해 증상등이 (파일 삭제 프로그램을 추가 다운로드 하여 실행) 기사화 되어 언론에서 잠시 주목을 받았다.


리포트 건수 감소 원인은 매해 3분기는 여름휴가 및 추석연휴와 같은 특수로 인하여 2분기 대비 감소하는 추세를 보인다. 특히 올해 3분기는 큰 폭으로 감소 하였고 계절적인 특수 이외에도 랜섬웨어 행위를 탐지하는 룰들의 행위 차단 건수가 이번 분기 79,437건으로 확인 되어 이전 분기 대비 49.4% 상승 하였다. 따라서 행위기반 탐지에 의한 사전차단 효과로 리포트 건수가 감소한 원인으로도 파악 되었다.


[그림1] 2017.01 ~ 2018.09 랜섬웨어 통계 (샘플 및 감염 리포트 건수)



3분기에도 가장 많은 샘플 및 리포트 건수를 차지하는 랜섬웨어는 GandCrab 으로 확인되었다. GandCrab 은 유포시 IP 를 확인하여 우리나라를 대상으로는 V3Lite 를 포함한 보안제품을 제거 하는 악의적인 기능이 추가로 포함된 스크립트 파일을 다운로드 하는 것이 처음 확인 되기도 했다. 또한 안랩은 이번 분기 GandCrab 의 다양한 형태를 대응 하였는데 그 자세한 이야기는 다음 링크를 참조 하기 바란다. 


à asec.ahnlab.com/category/악성코드 정보


참고로 GandCrab 의 샘플과 리포트 건수는 지난 4월과 5월 정점을 찍은 뒤 그 이후 모두 감소 추세에 있지만 제작자는 블랙마켓에 9월말 최신버전을 공개하며 지속적인 활동을 예고 했다. 한편 본 글을 작성하는 10월말 현재 BitDefender 사에서 GandCrab V1, V4 ~ V5 에 대한 복호화 도구를 공개 하였다. à https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/

이후 제작자는 복호화 도구가 공개 되고 몇 일 지나지 않아서 해당 도구에서 복호화 할 수 없는 변형을 제작, 유포 하였다.


[그림2] 2018.01 ~ 2018.09 GandCrab 샘플 및 감염 리포트 추세


1분기 랜섬웨어 동향 글에서도 언급 했던 것처럼 랜섬웨어 제작/유포/타켓은 크게 2가지로 나눠진다. GandCrab 처럼 RaaS (Ransomware-as-a-Service) 형태 (범용)와 9월말 국내에 또다시 불거진 웹 호스팅 업체의 서버를 대상으로 한 랜섬웨어 공격 형태 (타켓)이다. 특히 타켓 형태의 경우 국내와 국외의 상황이 조금 다른데 국외의 경우 주로 공공기관 또는 민간기업등이 대상이 되고 있다.


다음은 3분기 랜섬웨어 샘플수량에 대한 Top10 비율이다.


[그림3] 2018년 3분기 랜섬웨어 Top 10 샘플 비율



지난 분기와 같이 GandCrab 이 가장 많은 샘플비율을 차지 하고 있다. 그 뒤를 이어서 RansomCrypt 와 Magniber 가 있다. Magniber 의 비율이 상반기 대비 줄어든 것으로 (상반기 28%) 보인다. 하지만 Fileless 형태로 감염 형태를 전환하였기 때문에 샘플 수가 줄었다고 하여 안심 할 수 없다. 위에서 언급한 것처럼 랜섬웨어 행위 차단 건수는 직전 분기 대비 49.4% 상승한 만큼 은밀하고 보이지 않게 취약한 시스템을 노리고 있다는 점을 명심해야 한다. (끝)

Posted by 분석연구팀

지난 1분기와 다르게 2분기 랜섬웨어 유포방식과 감염형태는 사용자 및 안티 바이러스 업체를 전방위적으로 압박 하였다. 이러한 현상은 이후에도 이어질 전망이다. 피해가 많았던 랜섬웨어들의 유포방식과 감염형태의 변화는 다음과 같다.


[1] GandCrab Magniber 유포방식 및 감염 형태 변화



국내 랜섬웨어 피해상황은 지난 분기 대비 샘플 및 감염보고 건수 모두 상승 하였다. 샘플 수량은 1분기 대비 11.8% 증가 하였고, 감염보고 건수는 15.7% 증가 하였다. 감염보고 건수는 아래 그래프에 나타난 대로 4, 5월에 집중 되었으며 원인은 GandCrab 랜섬웨어로 확인 되었다. 샘플수량 건수는 3, 4월 감소 하였는데 이는 Magniber 랜섬웨어의 유포 중단으로 확인 되었다.


[그림1] 2017/ 2018년 상반기 랜섬웨어 통계 (샘플 및 감염보고 건수)

 



다음 [그림2] 2018년 상반기 주요 랜섬웨어 감염 추세를 보면서 GandCrab 증가와 Magniber 감소 원인

에 대하여 설명하고자 한다.

 



[그림2] 2018년 상반기 주요 랜섬웨어 감염 추세



위 그래프에서 보이는 것과 같이 Magniber 3월에 자사에서 공개한 복호화 툴의 영향으로 추정 되는 원인으로 410일 쯤부터 유포를 중단 하였다. 이후 6월초까지 약 2개월간 모습을 보이지 않았다. 이 빈자리를 GandCrab 이 차지 하였고 공격자는 Magniber 유포방식 (취약점 공격 도구인 Magnitude Exploit Kit 과 인터넷에 삽입된 광고를 통한 악성코드 유포방식인 멀버타이징 기법)을 그대로 사용하면서 랜섬웨어만 변경 하였다. GandCrab 은 올해 1월에 처음 발견 되었고 위에서 언급한대로 다양한 경로로 유포 되었다. 특히 Magniber 의 빈자리를 차지 하면서는 File -> Fileless 형태로 감염형태를 전환 하기도 하였다. 짧은 기간 동안 급격히 증가 했던 GandCrab 6월초 Magniber 랜섬웨어로 다시 교체 되기까지 약 2달 동안 멀버타이징 방식으로 유포 되었다.


6월초 약 2달만에 모습을 보인 Magniber 는 이전과 다르게 공격자의 공개키로 대칭키를 암호화하여 복호화에 필요한 정보를 감추었다. 따라서 기존에는 파일 내부에 키값을 가지고 있어 이를 이용하여 암호화된 파일의 복호화가 가능 했지만 6월초부터 현재까지 유포되고 있는 Magniber 에 의해 암호화된 파일은 분석을 통해서는 복호화 할 수 없다. 복호화 정보를 감추는 것 이외에 분석을 방해할 목적으로 문자열 난독화 강화 및 진단을 우회하려는 목적으로 Fileless 감염형태로도 전환 되었다.

 

1분기에도 언급 했듯이 국내 랜섬웨어 피해는 매우 국지적인 양상을 보이고 있다. GandCrab 의 폭발적인 증가는 국내 뿐만 아니라 세계적으로 2분기에 큰 이슈가 되었다. 여기에 한국어 윈도우만 (참고로 7월초부터 발견되는 Magniber 는 한국어를 포함하여 8개 언어를 추가로 더 확인 한다. 여기에는 중국어, 대만, 홍콩, 말레이시아어 등이 추가 되었다.) 노리는 Magniber 2개월의 휴식기를 가지고 기존보다 더 고도화 되어 모습을 드러냈다. 1분기까지 왕성하게 활동 했던 Matrixran 랜섬웨어는 그 자리를 Hermes 랜섬웨어로 내주었으며 Hermes 1분기 대비 감염건수는 22% 감소 했지만 샘플수량은 200% 가량 증가 하였다. 이는 변형이 증가 했지만 피해가 비례하여 증가 되지 않았음을 뜻 한다.


다음은 상반기 랜섬웨어 샘플수량에 대한 Top10 비율이다. 작년부터 올해 1분기 까지 가장 많은 비율을 차지 했던 Magniber 1위에서 물러나고 그 자리를 GandCrab 이 차지 하였다. 다양한 유포 방식과 변형의 등장으로 2분기 증가한 것이 그 원인으로 확인 되었다. RansomCrypt 유형은 1분기 까지는 파일의 외형을 똑같이 하여 의도적으로 분류 및 통계를 속이려는 랜섬웨어 변형을 지칭 하였다. 그러나 2분기에는 주요 랜섬웨어들이 Fileless 형태로 전환 되거나 지속적으로 사용 했던 컴파일러 외형을 다른 형태로 사용하면서 해당 진단명은 랜섬웨어 행위를 갖는 악성코드의 대표 진단명으로 자리 잡았다. 여기에는 새롭게 발견 되었지만 확산이 매우 적어 별도의 진단명을 부여하지 않는 랜섬웨어들이 포함 된다.



[그림3] 2018년 상반기 랜섬웨어 Top 10 샘플 비율



1분기 대비 2분기에는 랜섬웨어 신규 샘플과 피해건수가 증가하였다. 다양한 유포방식과 함께  감염행태를 Fileless 로 전환하여 자신을 더 교묘히 감추어 사용자 및 안티 바이러스 진단으로부터 자신을 깊숙히 숨긴다. 앞서 얘기한 GandCrab Magniber 는 다양한 유포방식과 감염형태로 하반기에도 피해가 멈추지 않을 것으로 전망된다.()

  

Posted by 분석연구팀

작년 3분기말 Cerber 랜섬웨어는 활동을 중단 하였고 국내 랜섬웨어 피해는 한풀 꺾일 것으로 예상 되었다. 그러나 작년 10월 중순 동일한 취약점 공격도구 (Magnitude Exploit Kit) 를 사용하여 유포 되는 Magniber (Magnitude + Cerber 의 합성어) 라는 새로운 랜섬웨어가 올해 1분기까지 국내에 많은 피해를 주었다. 이 글을 작성하는 현재 해당 랜섬웨어도 자취를 감추고 4월 초중순부터는 GandGrab 이라고 명명된 랜섬웨어로 교체 되어 유포 중이다.

랜섬웨어는 전세계적으로 그 세력과 피해가 주춤 한 것으로 국내외 안티 바이러스 업체들의 보도를 통해서 알려져 있다. 사이버 범죄자들의 비즈니스 모델은 가상화폐의 시세상승에 힘입어 랜섬웨어에서 가상화폐를 채굴 (이하 코인 마이너) 하는 악성코드 제작과 유포에 더 집중을 하고 있는 것으로 확인 되었다. 안랩도 ASD (AhnLab Smart Defence) 시스템을 통해서 코인 마이너류의 폭발적인 증가를 체감 하고 있다. 그러나 국내의 랜섬웨어 피해상황은 이러한 추세와 달리 매우 국지적인 감염율 증가 현상을 보이고 있다. 주요 신규 랜섬웨어의 발견은 불행 중 다행으로 감소한 편으로 20174분기 / 20181분기를 통틀어 작년 3분기 대비 15% 정도 증가하는데 그쳤다.

아래 그래프를 통해서 샘플수량은 작년 4분기 대비 22% 감소 하였지만 감염보고 수치인 Report 수량은 올해 1분기 무려 173% 증가 한 것으로 확인 되었다. Cerber 활동 중단으로 인하여 작년 9 ~ 10월은 샘플과 감염보고 수가 급감 했고 10월 중순부터 Magniber 로 교체가 되면서 감염보고 건수도 서서히 증가 한 것을 알 수 있다.

[그림1] 2017/ 20181분기 랜섬웨어 통계 (샘플 및 감염보고 건수)

이 둘 랜섬웨어의 감염 추세를 비교해보면 Magniber 가 얼마나 짧은 기간 동안 폭발적인 감염율을 보였는지 다음 그래프를 통해서 알 수 있다.  Magniber 는 작년 10월 중순경 처음 확인 되었고 올해 4월 초중순경까지 약 7개월 동안 활동 하였다. 짧은 기간 동안 이처럼 높은 감염율을 보인 원인은 온라인 광고를 통해서 악성코드 설치를 유도하는 멀버타이징 (Malvertising) 기법과 기존의 Cerber 랜섬웨어 유포에 사용 되었던 JScript VBScript 엔진 취약점 (CVE-2016-0189) 그대로 악용 하였기 때문이다. 올해 4월초부터는 비교적 최근에 알려진 Adobe 플래쉬 취약점 (CVE-2018-4878)을 함께 악용 하기도 하였다.

[그림2] 2017/ 20181분기 Cerber, Magniber 감염 증가 추세

이렇게 맹위를 떨치던 Magniber 랜섬웨어도 약 7개월정도 활동을 끝으로 자취를 감추었다. 안랩은 해당 랜섬웨어를 유포하는 멀버타이징 (Malvertising) 관련 사이트와 취약점 공격도구 (Magnitude Exploit Kit)의 유포, 실행 방식 변화를 끊임 없이 추적하고 있었다. 또한 올해 3월에는 Magniber 랜섬웨어 복호화 가능성을 파악 한 후 암호화된 파일을 복호화 할 수 있는 도구를 개발하여 공개 하기도 하였다.

앞서 국내 랜섬웨어는 국외와 달리 매우 국지적으로 활발한 감염율 증가 추세를 보이는 것으로 언급 하였다. 여기에는 Magniber 와 유사한 외형을 가지고 있는 랜섬웨어들도 한몫을 차지 하고 있다. 유사한 외형의 효과는 동일한 패커 (Packer) 를 이용한 것으로 목적은 주로 안티 바이러스의 진단을 우회하고 통계와 같은 동향을 파악 하기에 혼동을 줄 목적으로도 사용 될 수 있다.

[그림3] 20174분기 / 20181분기 Magniber 유사 외형 랜섬웨어 감염수

위 그래프에서 Matrix, Hermes, SageCrypt 는 모두 국내 특정 미디어 웹 사이트를 통해서 유포가 되었었다. 올해 1분기 까지는 Hermes 랜섬웨어가 주로 보고 되었다. 주로 어도비 플래쉬 취약점으로 통하여 해당 사이트를 방문하는 사용자를 노렸다. 일부 랜섬웨어는 스팸 메일 형태로도 유포 되었다. 이는 온라인 광고로 감염을 유도하는 멀버타이징 기법과는 달랐다. 해당 랜섬웨어들이 처음부터 Magniber 와 동일한 패커를 사용하지는 않았으며 혼란을 줄 의도는 비교적 최근에 파악이 되었다

그러나 RansomCrypt 로 명명된 랜섬웨어는 Magniber, GandGrab, Hermes 랜섬웨어를 모두 아우르는 진단명으로 확실하게 의도된 외형을 가진 것으로 확인 되었다. 이중 GandGrab 랜섬웨어는 올해 초 처음 알려졌는데 취약점 공격도구의 쇠퇴 흐름에도 불구하고 GrandSoft Exploit Kit 이라고 명명된 신규 공격도구를 통해 국외에서 최초 유포가 되었다. 국내에서는 해당 공격도구는 사용 되지 않았고 스팸메일 형태로 지원서와 이미지 도용과 같은 내용이 포함된 메일에 첨부파일로 유포가 되었다. 이 유포 방식도 현재 계속 되고 있는 것으로 확인 되었다. 더불어 앞서 언급한대로 4월 초중순부터는 취약점 공격도구 (Magnitude Exploit Kit )를 이용하여 자신을 유포 한다.

다음은 1분기 랜섬웨어 샘플수량에 대한 Top10 비율이다. 작년 4분기에는 Cerber Locky 순으로 많은 비율을 차지 했다. 올해 1분기 Magniber 가 큰 비율을 차지 하고 있지만 4월 초중순경 드디어 종적을 감추었다. 동일한 취약점 도구로 유포된 Cerber 랜섬웨어가 19개월 동안 활동을 한 것과 달리 약 7개월간 활동 하는 것으로 그치고 말았다. 이 자리는 현재 GandGrab 에게 내주었고 해당 랜섬웨어는 이전 두 랜섬웨어들과 달리 더욱 교묘하게 자신의 유포에 대한 추적을 어렵게 하거나 실행을 감춘다.

[그림4] 20181분기 주요 랜섬웨어 Top 10 샘플 비율

랜섬웨어 신규 샘플이 감소하는 추세이지만 공격자의 국지적인 활발한 활동으로 알려진 랜섬웨어의 피해는 증가하는 양상으로 변모 하였다. 공격자는 우리나라 사용자를 노리고 있고 랜섬웨어를 바꿔가면서 계속 피해를 극대화 하려고 하고 있다. 이를 토대로 주요 국내 랜섬웨어 유포양식은 의뢰자가 원하는 설정으로 유포와 제작을 도와주는 RaaS (Ransomware-as-a-Service) 형태를 띄고 있는 것으로 추정된다. 공격자는 2년 넘게 온라인 광고를 통한 악성코드 유포와 동일한 공격도구와 취약점을 사용하고 있다. 신규 취약점을 도구에 적용한지는 얼마 되지 않았다. 이는 그 동안 오래된 취약점이 효과적으로 사용 되었다 라는 걸 의미 한다. 이 글을 읽고 있다면 지금이라도 늦지 않았다. 즉시 Internet Explorer Adobe 에 대한 보안 업데이트를 실행 해야 한다.

Posted by 분석연구팀

3분기 랜섬웨어 위협에는 큰 변화가 있었다. 그 변화는 8월초쯤 시작 되어 9월말에 이르러서 확연히 우리 눈 앞에 보여지게 되었다. 그 변화는 가장 많이 보고 되는 Cerber 랜섬웨어의 위협이 약화를 거듭하여 오랜 기간 동안 발견 되고 있지 않다는 것이다. Cerber 94주차가 끝나갈 무렵부터 이 글을 작성하는 3주 후까지도 보고 되지 않았다. Cerber 위협이 완전이 끝났다고는 생각 되지 않으며 활동을 중단 한 것일 수도 있다. 다른 악성코드도 그랬듯이 랜섬웨어 역시 홀연히 자취를 감추었다가 다시 활발히 활동 하는 경우가 자주 목격 되는데 대표적으로 Locky 랜섬웨어가 그 중 하나이다.

                             [그림1] 20173분기 랜섬웨어 통계 (샘플 및 감염보고 건수)

위 그래프에서 3분기 랜섬웨어 중 9월 샘플과 리포트 수량 모두 크게 감소 한 것으로 나타났다.

샘플은 전월 대비 68% 감소, 리포트 수는 36% 감소 하였다. 안랩은 20173분 기준 약 150개 종류의 랜섬웨어를 모니터링 하고 있으며 이는 2분기 대비 40종 이상 증가 하였다. 이중 기타 (Etc) 로 분류한 84 종류의 랜섬웨어군의 샘플수량이 전월 대비 약 95% 정도로 매우 크게 감소 한 것이 큰 원인으로 확인 되었다. 해당 랜섬웨어군은 샘플수량대비 감염보고가 적은 것이 특징으로 따라서 크게 위협이 되지 않는 랜섬웨어군이다.

 

또한, 앞서 언급한 것처럼 Cerber 의 활동이 중단된 영향도 한 몫을 했다. Cerber 샘플은 8월 대9

43% 감소 하였고 감염보고수는 55% 감소 하였다. 그리고 2분기와 달리 WannaCryptor Petya

은 세간의 이슈를 끌만 한 랜섬웨어들이 발견 되지 않는 점도 있다.

 

반면, 다시 활발히 활동하는 랜섬웨어도 있는데 Locky 7월부터 꾸준히 샘플과 감염수가 증가 하고

있음을 알 수 있다. 다음 [그림2] 그래프를 통해서 Cerber Locky 의 추세를 확인해 보았.

[그림2] 2017Cerber / Locky 샘플 및 감염보고 추세

위 그래프를 통해서 Cerber 7월을 기점으로 샘플수와 감염수 모두 하락 하였다.

Cerber 유포는 Magnitude Exploit Kit 으로 알려진 취약점 악용 및 배포 도구를 이용하여 유포하는데 시Malvertising 기법을 이용한다. 악의적인 광고 사이트로 유도가 되면 Exploit Kit 에 의한 취약점이 동작하고 성공하면 Cerber 에 최종적으로 감염 된다.

 

Cerber 3분기내 안티 바이러스와 같은 보안 제품의 진단을 회피 하기 위해서 유포 방식에 변화를 주는 것이 다양하게 관찰 되었다. 다음 [그림3] 에서 3분기내 주요 변화를 정리 하였다.

[그림3] 2017 3분기 Magnitude Exploit Kit 변화

 

앞서 언급한대로 Magnitude Exploit Kit 를 이용한 Cerber 유포 활동이 중단 되었지만 안심 하기는 이르다. 집요하게 자신을 변화하면서 보안 제품을 우회하려는 시도를 보였고 잠시 숨을 고르고 있는지도 모른다. 다시 컴백 할 수 있는 만큼 아직도 안티 바이러스 제품을 설치 하지 않았거나 윈도우를 비롯한 사용중인 프로그램의 보안 업데이트를 진행 하지 않았다면 이 시점에 반드시 점검을 해보기 바란다.

 

[그림2] 추세 그래프를 통해서 Locky 3분기 기준 샘플수 대비 감염수는 무려 140% 가량 많았다. 이는 그 만큼 많은 사용자에게서 보고가 되고 있다는 뜻이다. Locky 의 유포는 크게 2가지로 나누어진다. 안랩은 유포 방식에 따라 각각 다른 유포자(또는 그룹)이 있다고 추정한다. 유포 방식은 첫번째, 악성 스팸 메일을 이용한 방식이다. 주로 다음 문장이 포함된 영어 제목의 메일로 시작 된다.

 

 

[그림4] Locky 악성 스팸 메일 제목 일부

메일에는 다운로드 증상을 갖는 JS 또는 VBS 확장자의 스크립트 파일이 첨부 되는 경우도 있고 스크립트를 7z 으로 압축하여 첨부된 경우도 있다. 일부 변형에 따라서 첨부파일 없이 메일 본문내 특정 URL의 링크를 삽입하는 경우도 있었다.

 

두번째는 SWF 취약점으로 추정 되는 유포 방법이다. 웹 브라우저인 Internet Explorer 사용자에서 보고

되고 있다. 현재 확인 된 내용으로는 Malvertising 기법과는 다르게 악성 광고 사이트로 유도 되지 않는

것으로 보여진다. 사용자가 방문한 특정 웹 사이트가 침해 당하여 악의적인 링크가 웹 페이지내 삽입

된 것으로 추정 된다. 악의적인 링크는 취약점이 있는 SWF 를 실행하도록 되어 있고 이로 인하여

Locky 에 최종 감염 되는 것으로 보여진다. 해당 유포 방식에 대한 연구와 조사가 진행 되고 있으며 결

과가 나올 시 다음 동향 리포트에 그 내용을 포함 할 예정이다.

 

유포 방식에 따른 Locky 는 외형도 다른데 사용되는 커스텀 패커도 다르고 하드코딩된 환경설정내 정보도 차이가 있다. 위 두 유포 방식의 Locky 의 경우 C2 정보가 존재하지 않는 형태 이지만 이와 또 다른 Locky 변형은 C2 정보가 존재하는 경우도 있었다. 이러한 정보를 토대로 Locky 는 랜섬웨어를 제작하고 유포 하고 싶은 자들이 돈을 주고 공격자들에게 의뢰할 경우 원하는 설정으로 제작을 도와주는 RaaS (Ransomware-as-a-Service) 형태로 추정 된다.

 

3분기 중 이슈가 되었던 랜섬웨어는 다음과 같다.

 

액세스 권한이 없는 파일을 암호화시 권한을 변경하는 행위를 하는 것이 특징인 Matrixran 랜섬웨어 변종이 악성 스팸 메일 형태로 유포 되어 7월말 ~ 8월초 다수 발견 되었다.

 

암호화 시킨 파일의 확장자를 .korea 로 변경하는 JigsawLocker 랜섬웨어가 국외에서 보고 되었으며 실제 동작 하지 않는 것으로 확인 되었다.

 

NemucodAES 라고 명명된 PHP 스크립트 형태의 랜섬웨어 변형이 또 다시 발견  되었다. 해당 랜섬웨어는 2016년에 처음 보고 되었다. 실행을 위해서 정상 PHP.EXE, PHP5.DLL 파일을 추가로 다운로드 하여 동작한다. 해당 랜섬웨어는 국외에서 복호화 도구가 공개 되었는데 사용 되는 mt_rand() 함수의 취약성으로 seed 값에 따라 정해진 난수값이 생성 되는 점 이용하여 키를 알아 낸 것으로 보인다.

 

SyncCrypt 라는 다소 특이한 랜섬웨어도 발견 되었다. 해당 랜섬웨어는 다운로드 증상이 있는 JS 스크립트를 이용하여 다운로드 된다. 다운로드 된 파일은 JPEG 포맷의 이미지 파일로 파일 내부에 PK ZIP 포맷으로 되어 있으며 압축 파일 내부에는 랜섬웨어 실행 파일과 랜섬노트등을 포함하고 있다. JS 코드 중 일부가 JPEG 이미지 파일의 특정 위치를 참조하여 파일을 생성 하도록 하여 랜섬웨어가 실행 될 수 있다. HWP 확장자로 암호화 대상에 포함된다.

 

악성행위에 필요한 DLL 파일과 파이썬 암호화 라이브러리를 내부에 가지고 있는 Scicario 랜섬웨어도 확인 되었다. 필요한 파일을 가지고 있다보니 랜섬웨어는 9MB 가 넘는 크기를 가지고 있으며 Pycrypto 파이썬 암호화 모듈을 이용하여 타켓 파일을 암호화 시킨다.

 

다음은 3분기 랜섬웨어 Top 14 에 대한 비율이다.

 

[그림5] 20173분기 랜섬웨어 Top 14 샘플 비율

3분기 동향에서 주목할 만한 것은 Cerber 위협의 감소도 눈 여겨 보여지지만 Locky 의 부상도 간과 할 수 없다. 특히 2가지 이상의 유포 방식을 통해서 다양하게 확산 되어 감염보고 역시 증가 시킬 징후가

높아 보이기 때문이다.

 

Cerber 3분기 까지는 가장 많은 비율을 차지 하고 Locky 가 뒤를 따르고 있다. 글의 시작에 언급 했지만 Cerber 의 위협은 3분기 동안 서서히 약화 되었다. Cerber 는 지난 2016년 초 처음 보고 후 지금까지 국내에 가장 많은 샘플과 감염보고를 가지고 있는 랜섬웨어 이다. 3분기 동안 계속 변화하는 유포 방식을 관찰하고 연구한 결과 위협은 약화 되고 중단 될 수 있었다. 이것은 다양한 단계적 대응방법을 이용한 향상된 선제적 대응이 지속성을 유지하면서 위협에 대한 예측이 가능 했기 때문이다. (끝)

 

UPDATE //

 

Magnitude Exploit Kit 를 이용하여 새로운 랜섬웨어가 유포 되기 시작했다. 안랩은 10월14일 토요일 밤부터 해당 Kit 을 이용하여 새로운 랜섬웨어가 유포 되는 것을 확인 하였으며 이는 3주만에 활동을 재개 한 것이다. 안랩은 진단명을 Trojan/Win32.Cerber 로 최초 진단 후 현재는 Trojan/Win32.Magniber 로 변경 하였다. 일부 안티 바이러스에서는 Trojan.Ransom.MyRansom 으로 진단 한다.

Posted by L0REAL