Information

이지시큐 정보센터

인터넷 접속만으로 감염! 갠드크랩 랜섬웨어 더 강해졌다

최신동향
작성자
이지시큐
작성일
2018-04-16 18:47
조회
307
인터넷 접속만으로 감염될 수 있는 드라이브 바이 다운로드(Drive-By-Downloads) 유포 방식으로 무장한 ‘갠드크랩(GandCrab)’ 랜섬웨어가 활동을 재개한 것으로 드러났다.

순천향대 SCH사이버보안연구센터(센터장 염흥열 교수, 이하 센터)에 따르면 11일부터 갠드크랩 랜섬웨어가 드라이브 바이 다운로드 유포 방식으로 새로 활동을 개시하고 있다. 또한, 갠드크랩 랜섬웨어가 기존 마이랜섬(매그니베르)과 유사한 특성을 가지고 있어 두 랜섬웨어 제작자 간의 관계가 있을 가능성도 제시했다. 센터는 2017년 10월 17일 국내 최초로 지금까지와는 형태가 다른 랜섬웨어를 발견해 ‘마이랜섬(MyRansom)’이라 명명한 바 있다.
갠드크랩 랩섬웨어 v2.0은 지난달 국내 디자이너의 실명과 프로필 등을 사칭하여 관련 종사자들에게 배포하는 공격방식과 지원서 및 정상 유틸리티로 위장하거나, 악성 메일을 통하여 유포되고 있다고 알려졌다. 하지만 이전 버전의 갠드크랩 랜섬웨어는 드라이브 바이 다운로드 방식으로 유포된 사례가 보도된 적은 없었다.

...중략...

해당 악성코드는 감염 당시 사용자 PC를 재부팅하는 행위가 추가됐으며, 이로 인해 감염 PC가 바로 재부팅되면서 악성코드 분석가들이 네트워크 패킷(악성코드 감염 및 이후 동작)을 확인하기 어렵게 만드는 것으로 분석됐다.
갠드크랩 랜섬웨어는 암호화되는 사용자 파일들의 이름이 ‘FileName.CRAB’으로 변경된다. 2.0 버전에서는 타깃 파일을 암호화하고 파일명을 변경했지만, 이번에 탐지된 2.1 버전에서는 타깃 파일명을 먼저 변경하고 암호화한다는 차이점도 존재한다. 또한 ‘.hwp’파일도 암호화시키고 있으며, 이는 국내 인터넷 서비스 사용자도 주 감염 대상이 될 수 있음을 나타내고 있는 것이다.

...중략...

SCH 사이버보안연구센터 김예준 연구생은 “다시 등장한 갠드크랩 랜섬웨어가 버전을 업그레이드해 드라이브 바이 다운로드 유포 방식으로 다양하게 유포되고 있어 더 많은 피해자를 양산할 수 있다”며 “인터넷 이용 시 자신도 모르게 감염될 수 있다며 각별히 주의를 해야 하며, 혹시나 모를 랜섬웨어에 대한 피해를 줄이기 위한 자료 백업이 중요하다”고 강조했다.

출처 : 보안뉴스 권 준 기자
http://www.boannews.com/media/view.asp?idx=68369&page=4&mkind=1&kind=1
error: Content is protected !!