세계 최대의 스팸 봇넷 네커스, 이번엔 스캐럽 랜섬웨어 영입
추수감사절 주말 노리고 공격 시작...피해자가 낼 금액 상황에 따라 달라

[보안뉴스 문가용 기자] 세계에서 가장 큰 스팸 봇인 네커스(Necurs)가 새로운 버전의 스캐럽(Scarab) 랜섬웨어를 배포하기 시작한 것으로 나타났다. 공격은 미국인들이 추수감사절을 지내기 위해 ‘민족대이동’을 하는 때인 협정 세계시 기준 7:30부터 시작됐으며, 보안 업체 포스포인트(Forcepoint) 홀로 탐지하고 차단한 네커스 이메일만 1천 2백 5십만 건에 달한다고 한다.


한편 이 공격은 또 다른 보안 업체인 에프시큐어(F-Secure)도 발견했다. 에프시큐어의 보안 전문가인 파이비 타이니넨(Paivi Tynninen)은 블로그를 통해 “UTC 기준 오전 7시 경부터 악성 .vbs 스크립트 다운로더가 7zip 파일로 압축되어 돌아다니기 시작한 것을 탐지했다”고 경보를 발령했다.

포스포인트에 의하면 네커스에서 발생하는 트래픽 대부분은 .com의 최상위 도메인(TLD)으로 전송됐다가, 지역 별 TLD로 급히 퍼져나가기 시작했다. 해당 지역은 영국, 호주, 프랑스, 독일이었다.

네커스는 매달 5~6백만 개의 호스트를 감염시키고 자신의 무기로 삼는 봇넷으로 원래는 드리덱스(Dridex)라는 뱅킹 멀웨어와 록키(Locky) 랜섬웨어를 퍼트리면서 악명을 떨치기 시작했다. 올해는 재프(Jaff) 랜섬웨어와 글로브임포스터(GlobeImposter)라는 랜섬웨어도 퍼트리기 시작했다.

네커스는 악성 VBS 스크립트 다운로더를 7zip으로 압축해서 배포한다. 이 스크립트 내에는 인기 드라마인 ‘왕좌의 게임’과 관련된 용어들이 자주 등장한다. 샘웰(Samwell)이나 존스노우(JohnSnow) 등이 그 예다. 이 다운로더들은 최종적으로 스캐럽 랜섬웨어를 설치한다.

스캐럽 랜섬웨어는 2017년 6월 처음 발견된 것으로 에프시큐어에 의하면 “오픈소스 랜섬웨어이자 개념증명용으로 만들어진 히든티어(HiddenTear)를 바탕으로 코딩됐다”고 한다.

네커스가 보내는 이메일은 독특한 특징을 가지고 있는데, 1) 제목이 사업 활동과 관련됐다는 것, 2) 그 중에서도 Scanned from이라는 문구를 자주 사용한다는 것이다. 또한 렉스마크(Lexmark), HP, 캐논, 엡손 등의 브랜드도 언급된다. 따라서 읽는 사람들은 스캔된 문건의 이미지가 메일함에 도착한 것으로 오인하기 일쑤다.

이번 네커스 공격에 활용된 웹사이트들은 이전의 네커스 관련 공격에서도 활용된 적 있는 사이트들이다. 따라서 많은 업체들이 이미 블랙리스트 처리를 했을 가능성이 높다. 그렇지만 포스포인트는 “워낙 캠페인 규모가 방대해서 감염자 수가 적지 않을 것으로 본다”고 발표했다.

스캐럽 랜섬웨어는 시스템 내 파일들을 암호화한 후 이메일 주소와 .scarab이라는 확장자를 붙인다. 이 때 이메일 주소는 협박 편지에 나오는 연락처와 동일하다. 협박 편지 파일 자체는 암호화가 진행된 모든 폴더에 하나씩 다운로드 된다. 특이하게도 편지 내용 중 범인들이 원하는 금액은 명시되어 있지 않다. 다만 피해자가 얼마나 빠르게 연락을 보내오느냐에 따라 금액이 달라진다고 안내되어 있다. 또한 돈을 내면 확실히 복구가 된다는 걸 보여주기 위해 무료로 파일 세 개를 복호화 시켜주기도 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>