'2019/08/16'에 해당되는 글 6건

  1. 2019.08.16 비트페이머와 거의 똑같은 랜섬웨어, 도플페이머 등장
posted by 알짜 정보 岳岩 2019.08.16 07:33

비트페이머 배후에 있던 인드릭 스파이더 그룹, 내부적으로 나뉜 듯
도플페이머, 암호화 기술이라는 측면에서는 비트페이머보다 향상된 모습 보여


[보안뉴스 문가용 기자] 보안 전문가들이 새로운 랜섬웨어 변종을 찾아냈다. 이전에 발견됐던 랜섬웨어인 비트페이머(BitPaymer)와 코드가 유사해서 이름을 도플페이머(DoppelPaymer)라고 붙였다. 비트페이머는 인드릭 스파이더(Indrik Spider)라는 공격 단체가 운영하던 것이다.

[이미지 = iclickart]


도플페이머 샘플은 지난 6월부터 시작된 대형 캠페인에서부터 발견됐다. 이 캠페인의 일환으로 공격자들은 텍사스의 에드카우치 시와 칠레의 농업부 등을 공격했다고 보안 업체 크라우드스트라이크(CrowdStrike)는 밝혔다.

비트페이머와 도플페이머의 코드는 상당 부분 닮아있지만, 차이점도 존재한다. 유사점과 차이점을 분석한 크라우드스트라이크는 “인드릭 스파이더 그룹이 갈라졌고, 한 분파가 비트페이머와 드리덱스(Dridex)의 소스코드를 혼합해 사용하기 시작한 것으로 보인다”고 설명했다. “한 방에 큰 금액을 노리기 위해 주로 기업을 표적으로 삼는 공격을 하는 것으로 보입니다.”

크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)는 “최근 랜섬웨어 공격자들은 정부 기관, 산업체, 의료 분야 등 큰 돈을 내놓을 만한 조직을 표적으로 삼아 공격한다”며, “일반 개인에게까지 흩뿌리는 살포식 랜섬웨어 공격은 사이버 공격 초보자들만 하고 있다”고 최근 추세에 관해 설명했다. 

인드릭 스파이더는 2014년에 결성된 것으로 보이는 공격 단체로, 게임오버 제우스(GameOver Zeus)라는 범죄 조직과 관련성이 깊은 것으로 의심된다. 인드릭 스파이더는 결성 이후 드리덱스라는 악명 높은 멀웨어를 만들어 공격을 일삼기 시작했다. 드리덱스 캠페인은 2015~2016년에 특히 기승을 부렸고, 당시 최악의 사이버 범죄 공격으로 꼽히기도 했다. 그리고 2017년 8월, 인드릭 스파이더는 비트페이머를 앞세워 랜섬웨어 공격을 실시했다.

비트페이머는 최초 출시 이후 여러 번의 변경을 거쳤다. 그러다가 2018년 11월 대대적인 업데이트가 있었다. 협박 편지에 피해자의 이름이 직접 기재되기 시작했다. 뿐만 아니라 암호화를 거친 파일의 확장자에도 피해자의 이름이 들어갔다. 암호화 방식 자체도 256비트 AES로 바뀌었다. 이전에는 128비트 RC4가 사용됐다. 전문가들은 ‘상당한 업그레이드’라고 평했다.

가장 최근에 발견된 비트페이머 캠페인에서는, 최소 15개의 조직들이 표적 공격을 당했다. 2018년 11월의 일이었으나 2018년 중반까지도 이어졌다. 그런 상태에서 6월, 돌연 비트페이머와 똑같이 생긴 도플페이머가 나타난 것이다. 분석 결과 도플페이머가 만들어진 시기는 올해 4월인 것으로 나타났다. 하지만 주요한 기능이 일부 빠져 있었고, 따라서 ‘실험용 샘플’일 가능성이 높았다. 현재까지 크라우드스트라이크는 8개의 도플페이머 빌드들과 3개의 피해 조직을 찾아내는 데 성공했다. 범인들이 요구한 금액은 최소 2만 5천 달러였고, 총합이 120만 달러를 넘었다.

“사이버 공격자들은 나중에 어떤 종류의 멀웨어를 사용하든, 처음에는 이모텟(Emotet)이나 드리덱스와 같은 멀웨어를 써서 최초 침투에 성공하곤 합니다. 그런 다음에는 권한 상승 공격 등을 이어가면서 횡적인 움직임을 시도하고요. 그런 다음 중요한 부분에 도달하거나, 충분한 영역을 확보하면 랜섬웨어를 퍼트리는 것이죠. 그게 최근 랜섬웨어 공격자들의 수법입니다.” 메이어스의 설명이다.

“도플페이머와 비트페이머의 코드는 많은 점에서 비슷합니다. 도플페이머를 만든 사람이 비트페이머의 소스코드를 확보했거나, 소유하고 있었을 것 같습니다. 원래 있던 것을 가지고 살짝 비틀어서 만든 게 도플페이머죠. 암호화 기술이나 협박 편지의 문구 정도가 바뀌었습니다.” 그 외 피해자들에게 지불을 요구하는 방식이나, 협박 편지에 들어가는 내용의 요소들은 큰 틀에서 같다고 메이어스는 말한다.

하지만 결국 나중에 나온 도플페이머가 암호화 기능에 있어서는 보다 향상된 면모를 보이고 있다. “도플페이머의 파일 암호화 과정은 비트페이머에 비해 속도가 훨씬 빠릅니다. 또한 도플페이머는 특정 명령행이 입력된 이후에만 실행됩니다. 명령행이 없거나 부정확하면 도플페이머가 작동을 멈춥니다. 또한 프로세스해커(ProcessHacker)라는 기술을 사용하기도 합니다.”

프로세스해커란 정상 오픈소스 관리자 유틸리티로, 시스템 내에서 돌아가고 있는 프로세스나 서비스를 중단시키는 데 사용된다.

크라우드스트라이크는 “현재 비트페이머와 도플페이머가 동시에 진행되고 있어, 일반 조직들과 방어 담당자들은 둘 다 신경 써야 할 것”이라고 경고했다. 보안뉴스

3줄 요약
1. 비트페이머 랜섬웨어에서 곁가지로 나온 듯한 ‘도플페이머’ 랜섬웨어 등장.
2. 비트페이머 공격자가 내부적으로 나뉜 후 한쪽에서 도플페이머 개발한 듯.
3. 비트페이머와 도플페이머, 둘 다 활동 중이어서 방어자들은 다 신경 써야 함.

댓글을 달아 주세요