• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

샌프란시스코 경전철 공격한 랜섬웨어와 케르베르 5.0 2016.11.28

역사 곳곳의 화면에 협박 메시지 붙어...7만 3천불 요구
현재 요금 지불 시스템 마비로 승객들은 무료로 경전철 사용 중
랜섬웨어 활용하는 공격자들의 부지런한 움직임

[보안뉴스 문가용 기자] 지난 주 금요일 샌프란시스코의 경전철 시스템에서 랜섬웨어 사건이 발생했다. 범인은 “당신들은 해킹당했고 데이터는 모두 암호화 되었다(You Hacked, All Data Encrypted)”라는 메시지를 역 곳곳의 화면에 남겼다고 매체들은 전했다. 또한 데이터 복호화를 위해서 cryptom27@yandex.com으로 연락하라는 내용도 포함되었다.


요금 지불을 처리해주는 기기들에도 ‘수리 중’이라는 팻말이 부착되었다. 제대로 작동되지 않는 것. 경전철 고객들은 덕분에 무료로 이 교통수단을 이용하는 중이다. 샌프란시스코의 교통국은 주말까지 공식 입장을 발표하지 않은 상태였다.

이 사건을 수사하고 있는 보안 전문가들에 의하면 샌프란시스코 경전철 시스템을 공격한 랜섬웨어는 HDD크립터(HDDCryptor)의 변종일 가능성이 높다. HDD크립터는 이름 그대로 하드드라이브와 네트워크 공유를 주로 암호화시키는 랜섬웨어다.

샌프란시스코 지역의 매체에 의하면 현재 랜섬웨어의 범인은 약 7만 3천 달러를 데이터 복호화 값으로 요구하고 있다고 한다. 아직 교통국 측이 어떠한 대응을 마련하고 있는지는 확실하지 않다.

한편 악명 높은 케르베르(Cerber) 랜섬웨어를 운영하는 익명의 공격자들이 최근 세 가지 다른 버전의 케르베르를 살포했다. 전문가들은 “특히 케르베르 5.0 버전에 주목해야 할 것”이라고 경고했다. 새로운 IP 대역을 사용하도록 개조되었기 때문이다.

케르베르는 올해 3월 처음 등장한 랜섬웨어로 사용자들에게 감염 사실을 알리는 데에 있어서 다양한 방법을 활용한 것으로 유명했다. 특히 VB스크립트를 활용해 사용자의 기기가 음성으로 경고문을 읽어주는 것이 가장 획기적인 것으로 평가받고 있으며, 덕분에 ‘말하는 랜섬웨어’라는 별명을 얻기도 했다. .CERBER라는 확장자를 암호화된 파일에 붙이는 패턴도 발견된 바 있다.

케르베르는 세계 곳곳의 사용자들을 노리고 있는 것으로도 악명을 드높여왔다. 또한 지난 8월에는 대대적인 업그레이드도 있었고, 다른 범죄자들에게 랜섬웨어 기술을 대여해주고 수수료를 받는 사업모델을 도입하기도 했다. 지난 8월까지 케르베르가 벌어들인 연간 수익은 약 2백 3십만 달러에 이를 것이라고 추정되기도 할 정도였다.

케르베르 4.0은 케르베르 시리즈 중 가장 최신 버전으로, 약 9월 중순 쯤 공개되었다. 케르베르 3.0이 공개된 지 불과 한 달 후의 일이었고, 케르베르가 데이터베이스에서 일어나는 프로세스들을 종료시킨다는 사실이 발견되고서 1주 후의 일이었다. 즉, 주요 공격 프로세스가 발견되고서 금방 업그레이드가 되었다는 것.

그러다가 지난 주 목요일, 아무런 예고도 없이 케르베르 5.0이 나왔다. 4.1.6 버전이 공개되고서 하루가 채 지나지 않아서였다. 5.0이 나오고 몇 시간 후, 5.0.1도 등장했다. 케르베르의 개발자들이 엄청나게 공격적인 업그레이드 전략을 실행하고 있다는 것이 드러난다.

보안 전문업체인 체크포인트(Check Point)가 케르베르 5.0을 분석한 결과, C&C 통신을 위한 IP 대역이 이전과 달라졌다는 사실이 제일 먼저 드러났다. 물론 이중 일부는 4.1.6 버전과도 겹치긴 하지만 나머지는 5.0 버전을 통해 처음 사용되는 것들이었다. 물론 UDP 전달 방식은 이전 버전과 같았다.

5.0 버전의 또 다른 차이점은 파일을 암호화 할 때 640 바이트를 스킵한다는 것이다. 이전에는 512 바이트씩 스킵했다. 그리고 2560 바이트 이하의 파일들은 암호화하지 않는다. 이전 버전의 경우 이 마지노선은 1024 바이트였다. 또한 이번 버전은 .secret이라는 확장자가 첨부되어 있는 파일들도 노리는 것으로 나타났다.

현재 랜섬웨어는 스팸 이메일과 익스플로잇 킷을 통해 퍼지고 있는 것으로 나타났다. 특히 Rig-V라는 익스플로잇 킷이 주요 매개체라고 한다. 또한 파일의 암호화를 진행한 이후 4가지 무작위 알파벳 글자들을 활용해 확장자를 만드는 것은 이전 버전들과 똑같다. 또한 데이터베이스를 주로 공략하는 것도 이전 버전과 같은 점이다.

멀웨어는 시스템을 감염시킨 후 화면에 경고문을 남긴다. 동시에 인터랙티브 파일인 .htl 파일도 남기는데, 여기에는 여러 가지 언어들로 협박 문구 및 지불 관련 안내 정보가 수록되어 있다. 그 외 나머지 사항들은 이전 케르베르와 같다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>