침해사고/위협동향

‘갠드크랩’ 랜섬웨어 유포, 한국 맞춤형 공격그룹 소행 추정

최민지
[디지털데일리 최민지기자] 이스트시큐리티(대표 정상원)는 지난 2016년 12월부터 국내 주요 기관·기업 및 인터넷 커뮤니티 사용자를 목표로 한국 맞춤형 비너스락커 랜섬웨어를 유포했던 조직이 ‘갠드크랩(GandCrab) v2.0’ 랜섬웨어를 이메일 첨부파일 형태로 유포하고 있는 정황을 발견했다고 27일 밝혔다.

‘갠드크랩 랜섬웨어 v1.0’은 파일 암호화 해제의 대가로 가상화폐 중 비트코인이 아닌 대시(Dash) 지불을 요구하는 첫 번째 랜섬웨어로 알려진 바 있으며, 계속해서 진화된 변종이 등장하고 있는 상태다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번에 발견된 공격자는 실제 활동 중인 국내 디자이너의 실명과 프로필 사진 등을 사칭한 이메일을 관련 분야 종사자들에게 배포하는 공격 방식을 사용하고 있다.

이메일 내용은 수신자가 자신의 디자인 작품을 무단 도용해 사용하고 있어 저작권 침해를 하지 말아 달라는 유창한 한국어로 작성된 안내와 함께, 첨부된 압축 파일을 열어보도록 유도한다.

첨부된 압축 파일을 열어보면 ‘원본이미지.jpg’, ‘사용이미지.jpg’, ‘사이트 링크정리.doc’라는 이름의 파일이 보여 사용자가 별다른 의심 없이 파일을 실행시키도록 한다. 하지만, 실제 이 파일은 이미지나 MS 워드 문서가 아닌 이중 확장자로 숨겨진 바로가기(.lnk) 파일이다.

사용자가 의심 없이 이 파일을 실행하면 함께 첨부된 랜섬웨어 파일인 ‘this.exe’가 자동으로 실행되고, PC 내 주요 파일들이 암호화된다.

ESRC는 한국에 유포되고 있는 갠드크랩 랜섬웨어에 감염될 경우 HWP 문서파일 등을 포함해 다양한 데이터들이 암호화되며, 암호화된 파일들은 기존 확장자에 ‘.CRAB’ 확장명이 추가되는 것으로 분석했다.

이와 함께 사용자 PC의 다양한 경로에 ‘CRAB-DECRYPT.txt’ 랜섬노트 파일이 생성되고, 토르(Tor) 브라우저를 통해 파일 암호화 해제의 대가로 가상화폐 대시(DASH) 지불을 요구하는 안내창이 나타난다.

현재 공격자는 약 1.53DSH를 결제하도록 유도하고 있으며, 27일 한국의 가상화폐 시세 기준 1DSHsms 약 43만원으로 거래가 이뤄지고 있다. 감염 피해자는 약 65만원 이상의 몸값 지불을 요구받는 셈이다.

또한, ESRC는 공격자가 사용하고 있는 바로가기 파일을 이용한 감염기법이 2016년부터 발견된 비너스락커 랜섬웨어와 동일한 코드로 제작됐고 이메일 문장에 대체로 마침표를 사용하지 않는 등 한국 맞춤형 비너스락커 랜섬웨어를 유포했던 조직의 소행으로 추정되는 유사점도 발견했다고 설명했다.

문종현 이스트시큐리티 시큐리티대응센터 이사는 “현재 추정되는 갠드크랩 랜섬웨어 공격자는2016년 비너스락커 랜섬웨어 유포를 시작으로, 한국을 주요 공격 대상으로 삼고 1년 넘게 활동하며 각종 랜섬웨어와 가상화폐 마이너 등의 악성코드를 집중 유포하고 있는 특징이 있다”고 말했다.

이어 “유창한 한글로 작성됐고 본인의 업무나 직업 등 유관한 내용을 담고 있는 이메일을 수신할 경우에도 첨부파일을 열기 전 이미지나 문서파일로 위장한 바로가기 유형의 이중 확장명을 가지고 있는 것은 아닌지 반드시 확인하는 주의가 필요하다”고 강조했다.

한편, 현재 이스트시큐리티는 ‘갠드크랩(GandCrab) v2.0’ 랜섬웨어의 확산과 피해 방지를 위해 한국인터넷진흥원(KISA)과 관련 정보를 공유하는 등 협력을 진행하고 있다. 알약에서는 이번 공격에 활용된 악성 바로가기(.lnk) 파일과 랜섬웨어를 각각 ‘Trojan.Downloader.LnK.gen’, ‘Trojan.Ransom.GandCrab’ 탐지명으로 진단·치료하고 있다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널