2017.04.19

20만 원짜리 랜섬웨어 서비스, 사이버범죄자들 사이에서 홍보 중

Michael Kan | IDG News Service
리코디드 퓨처(Recorded Future)에 따르면, 러시아어를 사용하는 한 해커가 암시장에서 서비스로서의 랜섬웨어(ransomware-a-a-service, RaaS)를 홍보하고 있다.


Credit: Michael Kan

사이버범죄자들은 175달러(약 20만 원)짜리 카르멘(Karmen)이라 부르는 변종 랜섬웨어를 자신의 무기 목록에 추가할 수 있게 됐다.

보안업체인 리코디드 퓨처는 17일 블로그를 통해 데브비톡(DevBitox)이라는 러시아어 사용자가 지하 포럼에서 RaaS를 홍보하고 있다고 밝혔다. 카르멘은 전문가들이 RaaS라고 부르는 것으로, 특히 우려스러운 추세이기도 하다. 이는 기술적인 노하우가 거의 없는 아마추어 해커들이 액세스 권한을 구입할 수 있으며, 이를 통해 랜섬웨어 공격을 개발하기 위한 웹 기반 도구 전체를 받을 수 있다.

카르멘의 경우, 사용하기 쉬운 대시보드 인터페이스를 제공한다. 이 대시보드를 통해 구매자는 랜섬웨어를 수정하고 감염된 시스템을 확인해 자신이 얻을 수 있는 금액을 알 수 있다.

랜섬웨어를 확산시키기 위해 해커들은 종종 악성코드가 포함된 웹사이트에 대한 첨부파일이나 링크가 포함된 스팸 이메일에 의존한다. 일단 컴퓨터가 감염되면, 랜섬웨어는 내부에서 호스팅되는 파일을 암호화한다. 피해자가 암호화된 파일을 열기 위해서는 대개 비트코인을 지불해야 한다.

카르멘 개발자 가운데 한명인 데브비톡은 러시아어와 영어 버전의 RaaS를 사용할 수 있다는 메시지를 여러 포럼에 게시했다.

RECORDED FUTURE

리코디드 퓨처에 따르면, 지금까지 이 해커는 카르멘 20매를 판매했다. 리코디드 퓨처는 이 랜섬웨어 변종의 첫번째 감염자는 지난해 12월 초 독일과 미국에서 발생했다고 밝혔다.

리코디드 퓨처 이사인 안드레이 바리세비치는 175달러 요금은 일회성 선지불 형태라고 전했다. 바리세비치는 "이는 다른 범죄자가 랜섬웨어 공격을 행하는 데 기술적 장벽을 낮추고 구매자는 감염된 피해자가 지불하는 금액 전액을 받을 수 있게 해준다"고 설명했다.

그러나 카르멘 랜섬웨어에 의해 피해를 입은 이들은 복구할 희망이 있다. 이 악성코드는 오픈소스인 히든 티어(Hidden Tear) 프로젝트에서 파생된 것이기 때문이다. 사이버범죄자들은 자신의 랜섬웨어 변종을 만들기 위해 히든 티어를 사용해왔다. 그러나 보안 전문가들은 암호화된 컴퓨터들을 풀 수 있는 무료 복호화 도구들을 사용해 대응하고 있다.

보안 연구원인 마이클 길레스피는 히든티어에서 제작한 랜섬웨어를 처리할 수 있는 자체 복호화 키 생성기를 개발했다. 길레스피는 피해자가 자신과 연락해 도움을 요청하길 권고했다. 또한 길레스피는 어떤 종류의 랜섬웨어가 컴퓨터에 감염됐는지 진단할 수 있는 사이트를 개발했으며, 어떻게 해결할 수 있는지 조언한다.

노 모어 랜섬(No More Ransom)은 특정 랜섬웨어 암호화를 해독할 수 있는 무료 도구가 있는 또다른 사이트다. 보안 전문가들은 기업들이 랜섬웨어 공격을 받을 경우를 대비해 주요 시스템을 정기적으로 백업할 것을 권장했다. editor@itworld.co.kr  

2017.04.19

20만 원짜리 랜섬웨어 서비스, 사이버범죄자들 사이에서 홍보 중

Michael Kan | IDG News Service
리코디드 퓨처(Recorded Future)에 따르면, 러시아어를 사용하는 한 해커가 암시장에서 서비스로서의 랜섬웨어(ransomware-a-a-service, RaaS)를 홍보하고 있다.


Credit: Michael Kan

사이버범죄자들은 175달러(약 20만 원)짜리 카르멘(Karmen)이라 부르는 변종 랜섬웨어를 자신의 무기 목록에 추가할 수 있게 됐다.

보안업체인 리코디드 퓨처는 17일 블로그를 통해 데브비톡(DevBitox)이라는 러시아어 사용자가 지하 포럼에서 RaaS를 홍보하고 있다고 밝혔다. 카르멘은 전문가들이 RaaS라고 부르는 것으로, 특히 우려스러운 추세이기도 하다. 이는 기술적인 노하우가 거의 없는 아마추어 해커들이 액세스 권한을 구입할 수 있으며, 이를 통해 랜섬웨어 공격을 개발하기 위한 웹 기반 도구 전체를 받을 수 있다.

카르멘의 경우, 사용하기 쉬운 대시보드 인터페이스를 제공한다. 이 대시보드를 통해 구매자는 랜섬웨어를 수정하고 감염된 시스템을 확인해 자신이 얻을 수 있는 금액을 알 수 있다.

랜섬웨어를 확산시키기 위해 해커들은 종종 악성코드가 포함된 웹사이트에 대한 첨부파일이나 링크가 포함된 스팸 이메일에 의존한다. 일단 컴퓨터가 감염되면, 랜섬웨어는 내부에서 호스팅되는 파일을 암호화한다. 피해자가 암호화된 파일을 열기 위해서는 대개 비트코인을 지불해야 한다.

카르멘 개발자 가운데 한명인 데브비톡은 러시아어와 영어 버전의 RaaS를 사용할 수 있다는 메시지를 여러 포럼에 게시했다.

RECORDED FUTURE

리코디드 퓨처에 따르면, 지금까지 이 해커는 카르멘 20매를 판매했다. 리코디드 퓨처는 이 랜섬웨어 변종의 첫번째 감염자는 지난해 12월 초 독일과 미국에서 발생했다고 밝혔다.

리코디드 퓨처 이사인 안드레이 바리세비치는 175달러 요금은 일회성 선지불 형태라고 전했다. 바리세비치는 "이는 다른 범죄자가 랜섬웨어 공격을 행하는 데 기술적 장벽을 낮추고 구매자는 감염된 피해자가 지불하는 금액 전액을 받을 수 있게 해준다"고 설명했다.

그러나 카르멘 랜섬웨어에 의해 피해를 입은 이들은 복구할 희망이 있다. 이 악성코드는 오픈소스인 히든 티어(Hidden Tear) 프로젝트에서 파생된 것이기 때문이다. 사이버범죄자들은 자신의 랜섬웨어 변종을 만들기 위해 히든 티어를 사용해왔다. 그러나 보안 전문가들은 암호화된 컴퓨터들을 풀 수 있는 무료 복호화 도구들을 사용해 대응하고 있다.

보안 연구원인 마이클 길레스피는 히든티어에서 제작한 랜섬웨어를 처리할 수 있는 자체 복호화 키 생성기를 개발했다. 길레스피는 피해자가 자신과 연락해 도움을 요청하길 권고했다. 또한 길레스피는 어떤 종류의 랜섬웨어가 컴퓨터에 감염됐는지 진단할 수 있는 사이트를 개발했으며, 어떻게 해결할 수 있는지 조언한다.

노 모어 랜섬(No More Ransom)은 특정 랜섬웨어 암호화를 해독할 수 있는 무료 도구가 있는 또다른 사이트다. 보안 전문가들은 기업들이 랜섬웨어 공격을 받을 경우를 대비해 주요 시스템을 정기적으로 백업할 것을 권장했다. editor@itworld.co.kr  

X