초보자들이 사용하기 좋은 친절한 채굴 코드, 라로그
채굴 코드 기승 노려 업데이트 된 랜섬웨어, 크립토믹스

[보안뉴스 문가용 기자] 사이버 범죄자들 사이에서 비교적 이름이 덜 알려진 암호화폐 채굴 멀웨어인 라로그(Rarog)의 인기가 올라가고 있다는 소식이다. 특히 초보 범죄자들이 이쪽 방면으로 들어서기에 라로그가 좋다는 소문이 그들 사이에서 돌고 있다고 한다.


라로그는 슬라브족 설화에 나오는 불의 악마의 이름이다. 지금 인기가 올라가고 있는 멀웨어 라로그는 모네로를 채굴하는 기능을 주로 발휘하지만, 기타 다른 암호화폐 코인들도 채굴할 수 있다고 한다. 채굴을 위해 몇 가지 봇넷 기술을 탑재하고 있기도 한데, 다양한 멀웨어를 다운로드 하고 실행한다든지, 디도스 공격을 실시하거나 스스로를 업데이트 하는 등의 기능을 포함한다.

하지만 이것만 가지고는 라로그가 초보자들 사이에서 인기가 높은 이유가 설명되지 않는다. 라로그는 사용자들에게 위에서 언급한 기술만이 아니라 채굴 관련 통계자료를 제공하고, 채굴 코드를 실행시키기 위한 다양한 프로세서 정보도 제공하며 환경설정도 해준다. 또한 USB 감염 기능도 가지고 있으며, 추가 DLL을 피해자 시스템에 로딩시킬 수도 있다.

라로그가 처음 발견된 건 2017년 6월, 러시아어로 운영되는 지하 포럼에서였다. 당시 6천 루블에 판매되고 있었는데, 이는 현재 환율로 대략 104 달러에 해당한다.

보안 전문가들이 추적한 바 현재 약 2500개의 고유한 라로그 버전들이 활동하고 있으며, 이들은 161개의 C&C 서버와 연결되어 있다고 한다. 여태까지 전 세계에서 16만 6천여 건의 감염 사태를 일으켰고, 피해 지역은 필리핀, 러시아, 인도네시아에 집중되어 있다고 한다.

라로그에는 게스트용 관리자 제어판도 있어 구매를 고려하는 자들이 돈을 내기 전에 맛보기도 할 수 있다. 물론 실제 범죄를 저지르지는 못하지만 제어판을 만져보며 대략의 감을 익힐 수 있는 것이다. 이 또한 초보자들에게 큰 매력으로 다가간다.

라로그의 배후에 누가 있는지는 아직 밝혀지지 않았다. 다만 arsenkooo135와 foxovsky라는 트위터 계정과 연관되어 있다는 것만 알려져 있다. 보안 전문가들은 이 계정 이름을 가지고 추적을 계속 진행했고, 깃허브의 한 레포지토리에서 똑같은 이름을 찾아냈다. 다양한 멀웨어가 호스팅되어 있었다. 전문가들은 라로그를 운영하는 자들이 개인이나 소수의 그룹일 것이라고 보고 있다.

이렇게 암호화폐 채굴 코드가 기승을 부리는 바람에 랜섬웨어가 살짝 대세에서 물러난 느낌이다. 그런 틈을 공격자들이 놓칠 리가 없다. 최근 사이버 범죄자들은 크립토믹스(Cryptomix)라는 랜섬웨어의 업데이트 버전을 사용하기 시작했다. 실질적인 기능에는 큰 변화가 없으나 연락처 정보와 협박편지 내용이 조금 바뀌었다.

이를 찾아낸 건 멀웨어헌터팀(MalwareHunterTeam)으로 “새 버전의 크립토믹스는 파일들을 암호화시킨 이후 .MOLE66이라는 확장자를 붙인다”고 설명한다. 이전과 다른 확장자이지만 암호화 알고리즘 자체는 같다는 추가 설명도 덧붙였다. “또한 아직까지 디크립터가 개발되거나 발견되지 않았기 때문에 복구할 방법이 돈을 지불하거나 백업 파일을 받는 것밖에 없습니다.”

새로운 연락처는 alpha2018a@aol.com이며, 새롭게 작성된 협박편지는 _HELP_INSTRUCTIONS_.TXT라는 이름으로 저장된다.

멀웨어헌터팀은 “크립토믹스 배후에 있는 공격자들은 이 랜섬웨어를 단발성으로 사용하려는 것 같지 않다”며 “2개월 전에도 비슷한 업데이트가 있었던 것으로 봐, 꾸준히 사이버 공간에 출현할 위협으로 보인다”는 의견을 제시했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>