"한국은행 사칭 갠드크랩 랜섬웨어 또 다시 유포" 기사 스크랩

2019.03.13

"한국은행 사칭 갠드크랩 랜섬웨어 또 다시 유포" 

출처 보안뉴스 :  https://www.boannews.com/media/view.asp?idx=77802

* 요약 *

어색한 한국어 사용하는 갠드크랩 랜섬웨어 이메일 공격이 발견되었다. 단체메일 설정하지 않아

50개 수신자의 이메일이 노출되었고 수신자간의 공통점이 발견되지 않았다. 특징은 마치 번역기를

돌린 듯한 한국어를 사용했으며 2월 20일부터 현재까지 꾸준하게 갠드크랩 랜섬웨어를 이용한

공격을 하고 있다. 어눌한 한국어와 함께 띄어쓰기가 제대로 되어있지 않았다. 한국은행은 중앙은행이자

발권은행으로 개인거래가 되지않는데 메일 내용에는 온라인 뱅킹 문제로 계좌가 정지되었다는 내용을

담고 있어서 공격자들은 한국에 대해 자세히 알지 못하는 것으로 추정된다. 또한 메일에 첨부되어있는

'한국 중앙은행의 통보.zip' 파일은 기존에 유통되던 갠드크랩 랜섬웨어라고 한다.

이렇게 허술한 공격이라하더라도 첨부파일을 열어 갠드크랩 랜섬웨어에 감염되는 피해자들은 생길 수 있으니

이메일을 주의깊게 보고 함부로 첨부파일을 열지말라고 보안전문가들은 말했다.

---

* 지극히 개인적인 나의 생각 *

과거에 내가 알던 갠드크랩 랜섬웨어의 공격은 보통 공격자가 유창한 한글을 사용한 이메일을

이용한다고 했는데 이번 공격은 어눌한 한국어와 띄어쓰기가 맞지 않은 걸 보니

랜섬웨어 버전은 업데이트했어도 한국어는 다운그레이드 됬나보다...ㅎㅎ

지인 중에 랜섬웨어에 걸린사람도 있었고 몇 년전에 특정 기업도

랜섬웨어에 감염되어 큰 피해를 입은 사례를 알고 있다.

역시 랜섬웨어를 예방하려면 백업이 중요한 것 같다. 그리고 출처가 불분명한

메일이나 첨부파일은 손대지 않는 것이 상책이겠지만! 당연히 속이려고 노력할 것이고

그렇기 때문에 중요자료는 그냥 백업해서 따로 빼놓는 것이 좋은 것 같다.

---

* 갠드크랩(GandCrab) 랜섬웨어 *

PC의 중요파일(문서, 사진 등)을 암호화하고 금전을 요구하는 악성코드의 한 종류이다.

갠드 크랩 랜섬웨어가 실행될 시, 맨 처음 아래와 같은 창이 뜬다고 한다.

갠드크랩 랜섬웨어는 감염시킨 PC의 파일의 확장자를 갠드크랩 전용인 "GDCB"로 변경한 뒤

암호화하여 비트코인을 요구하는 형태의 랜섬웨어이다.

여러 백신 회사들이 이러한 공격을 막는 방법을 찾았지만 공격자들은

 이 랜섬웨어의 버전을 업데이트하여 새로운 공격을 시도한다고 한다.

유포방법은 다양하다. 메일에 첨부하는 형식이거나 특정 사이트에 링크를 걸어서

일반 사용자들이 클릭을 하면 유포되게 만드는 형태 등이 있다.

* 감염 후 증상 *

1. PC를 강제적으로 재부팅시켜 바탕화면을 변조시킴(ver 3.0)

2. 암호화한 파일들의 파일명 뒤에 ' .CRAB' 이 추가됨

3. 각 폴더에 'CRAB-DECRYPT.txt'의 랜섬노트가 생성된다.

이 노트에는 토르 웹 브라우저 등의 경로를 통해 결제를 요구하는 내용이 들어있다.

---

* 비다르 *

악성코드의 한 종류인 비다르는 멀버타이징(Malvertising)을 이용한다.

이 멀버타이징은 악성코드와 광고의 합성어로 광고 서버를 해킹하여 진행되는 공격이다.

광고 서버를 해킹하여 사용자가 광고를 클릭하였을 때 공격이 진행되는데

이 비다르를 이용해서 갠드크랩 랜섬웨어를 진행시키는 경우가 많다.

공격과정은 이렇다. 공격자가 불법사이트 등 보안이 취약한 사이트에 다양한 웹 사이트 광고를

노출시켜놓고 기다린다. 사용자가 광고를 클릭하는 순간 악성코드 제작 및 유포 도구인

'폴 아웃 익스플로잇 킷'을 이용하여 사용자의 접속환경을 분석하게된다.

사용자의 컴퓨터 보안이 허술하다면 취약점을 이용하여 비다르를 설치하게되고

비다르 악성코드가 사용자 PC의 브라우저를 탐색하여 아이디, 패스워드 등의

계정 정보를 수집하게되며 OS 정보, 네트워크 연결정보, 하드웨어 정보 등의 시스템 정보까지

수집하여 공격자에게 전송하게된다. 수신한 뒤에는 갠드크랩 랜섬웨어를 사용자 PC에 다운로드하여 실행시킨다. 

* 폴 아웃 익스플로잇 킷 *

 

사용자의 브라우저 프로필을 검사해 표적과 일치할 경우 악성 콘텐츠를 퍼트린다.

표적일 경우 사용자는 302개의 리다렉션(redirection)을 통해 진짜 광고페이지 대신

익스플로잇 키트 랜딩 페이지의 URL로 접속된다. 익스플로잇 키드의 랜딩 페이지 URI는

지속적으로 변경되며 패턴 도출이 어렵기 때문에 IDS(Intrusion Dectection System)솔루션으로 확인이 어렵다.

또한 사용자의 브라우저와 OS프로필, 사용자의 위치에 따라 익스플로잇 키드가 바로 설치되거나

소셜 엔지니어링 공격(사회공학적 해킹)을 통해 익스플로잇 키트가 설치되는 경우도 있다고 한다.

랜딩 페이지 : 검색엔진, 광고 등 어떠한 채널을 경유하여 접속하는 사람이 처음보게되는 페이지를 의미함

 접속 시, 사용자가 원하는 곳에 접속할 수 있도록 메뉴와 검색기능에 충실함. 사람들은 랜딩페이지에서 원하는 곳을 찾음