삼삼(SamSam) 랜섬웨어 공격자들이 2015년 말, 랜섬웨어 배포 이후, 그 몸값으로 5백9십만 달러(약 66억 원)가 넘는 돈을 벌었다고 합니다.

영국의 사이버보안 업체인 소포스는 과거의 공격을 분석한 데이터와, 피해자들과의 인터뷰, 공공 및 민간 정보를 모아 보고서를 발표했습니다.

또한 블록체인, 암호화폐 모니터링 회사 뉴트리노(Neutrino)와 협력하여 삼삼 공격자들이 사용해 온 비트코인 지갑 주소들의 거래와 관계를 추적했습니다.

비트코인 지갑 주소들을 추적한 결과 최소 233명의 피해자가 몸값을 지불한 것으로 확인되었고, 그 중 86명의 피해자는 소포스가 프로파일을 구축할 수 있도록 관련 정보를 공개해 주었습니다.

몸값을 지불한 피해자의 약 50%는 민간 기업, 25% 헬스케어 조직, 13%는 정부 조직, 11%는 교육기관에 속해 있었습니다.

소포스 팀은 삼삼의 랜섬 노트에 사용된 157개의 비트코인 지갑 주소와, 돈을 받지 못한 다른 88개의 주소를 알아냈습니다.

소포스는 삼삼 공격자들은 대개 하루에 한 명의 피해자를 만들고, 네 명의 피해자 중 한 명이 몸값을 지불했다고 설명합니다.

삼삼 공격자들이 이렇게 큰 돈을 벌 수 있었던 이유는 그들의 운영 방식 덕분입니다.
이들은 다른 공격자들처럼 랜섬웨어를 이메일 스팸, 익스플로잇 킷, 가짜 업데이트 사이트나 소프트웨어를 통해 대량 배포하지 않습니다.

대신, 한 번에 한 명의 희생자를 타깃으로 삼았습니다.

제이보스(JBoss) 서버의 알려진 취약점을 사용해 패치되지 않은 제이보스가 설치되어있는 회사를 찾았습니다.

랜섬웨어를 감염시킬 한 대의 컴퓨터를 찾아 액세스 권한을 갖고 공격을 시행하는 등 지능적인 방법을 사용했습니다.

삼삼은 현재 최소 세 개의 버전까지 있는 것 확인되었고, 보안 연구원이 내부 분석을 하지 못하도록 점점 더 많은 보호 조치를 취하고 있습니다.

그런데 소포스는 삼삼 랜섬웨어가 단체의 소행이라고 생각하지 않습니다.
랜섬 노트와, 지불 포털 등에 대한 언어 기반의 분석, 그리고 다른 행동적 특징에 따라 삼삼 랜섬웨어는 단체가 아닌 누군가 한 개인의 작품일 것이라고 보고 있습니다.

[유수현 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>