처음부터 서비스형으로 기획된 듯한 기능들...사용자들은 배포만
암호화 알고리즘 아직 밝혀지지 않아... 바이러스토탈에도 없어

[보안뉴스 문가용 기자] 새로운 랜섬웨어 패밀리가 등장했다. 이름은 사탄(Satan)으로, 서비스형 랜섬웨어, 즉 RaaS 형태로 배포되고 있는 중이다. 이는 즉 랜섬웨어를 개발할 능력이 없는 사이버 범죄자들도 얼마든지 랜섬웨어 공격을 할 수 있다는 뜻이 된다. 사탄을 처음 발견한 건 보안 전문가인 자일리톨(Xylitol, 예명)로, 현재 수익의 30%를 내는 조건으로 누구나 사탄을 사용할 수 있게 되어 있다고 한다.


사탄은 애초부터 서비스형으로 기획된 것처럼 보인다. 이를 구매해 사용하는 자들 입장에서 매우 편리하게 사용할 수 있도록 기능이 구성되어 있는 것이다. 일례로 피해자가 돈을 지불하려고 했을 때, 그 과정을 사탄이 알아서 처리해주고, 새로운 기능 역시 자동으로 업데이트 된다. 계약으로 사탄을 구매해 사용한 사람이 해야 할 일은 배포라고만 사탄 랜섬웨어 개발자들은 설명하고 있다. 심지어 수익에 따라 30%의 수수료를 낮춰주기도 한다.

해당 랜섬웨어를 사용하기로 하고 등록을 마치면 여러 단계를 거쳐 랜섬웨어를 맞춤형으로 제작할 수 있게 된다. 여기에서 ‘단계’란 멀웨어(Malwares), 드롭퍼(Droppers), 번역(Translate), 계정(Account), 알림(Notices), 메시지(Messages)를 말한다. 멀웨어 단계에서 사용자는 협박할 금액, 금액 인상 전 대기 기간, 금액 인상률 등을 설정할 수 있다. 드로퍼 페이지에서 사용자는 악성 MS 워드 매크로나 CHM 인스톨러 등을 제작할 수 있게 해준다. 스팸 메일을 통한 배포 전략 역시 여기서 구축할 수 있다.

‘번역’ 단계에서는 협박할 언어도 확장해준다. 그렇기 때문에 영어권 사용자만이 아니라 기타 언어 사용자들도 노릴 수 있게 된다. 계정 페이지를 통해서는 어떤 피해자가 얼마를 냈는지 등을 추적, 관리할 수 있다. ‘알림’은 사탄 랜섬웨어로부터 전달되는 중요한 내용들이 고지되는 곳이며, 메시지 단계에서는 ‘고객 지원’ 활동이 이루어진다.

사탄 랜섬웨어를 분석한 전문가들은 현재까지 발견된 샘플들 중 바이러스토탈(VirusTotal)에 공유된 것이 없어 현존 멀웨어 탐지 도구들로는 제대로 방어하기가 쉽지 않을 것이라고 말한다. 게다가 이 랜섬웨어는 가상 환경에서 자동으로 종료되는 기능도 가지고 있어 분석이 쉽지도 않다.

현재 이 랜섬웨어가 노리고 있는 파일 종류는 약 350가지 인 것으로 보인다. 아직 암호화 알고리즘에 대해서는 밝혀진 바가 없다. 다만 암호화가 종료된 파일에 대해서는 .stn이라는 확장자를 붙인다는 것이다. 파일 이름 역시 아무렇게나 무작위로 바뀐다. 피해자들에게 내보내는 협박 편지는 HELP_DECRYPT_FILES.html이라는 파일에 저장되어 있다. 암호화를 마친 후 C 드라이브에서 사용되지 않은 공간의 데이터는 cipher.exe를 통해 깨끗하게 지워진다.

협박 편지 역시 독특하다. 피해자에겐 개별적인 ID와 지불을 할 수 있는 고유의 URL이 주어진다. 또한 랜섬웨어 개발자들은 협박 편지를 통해 자신들이 사용하고 있는 암호화 알고리즘이 AES-256과 RSA-2048이라고 굳이 밝히고 있는데, 진위 여부는 아직 밝혀지지 않고 있다. 현재 정확한 피해 여부는 파악 중에 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>