세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
갠드크랩 V4 출현, 빠르게 진화하는 서비스형 랜섬웨어 주의
  |  입력 : 2018-07-03 18:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
갠드크랩 V3이 발견된 후 2개월 만에 신종 발견...신변종 기간 가속화
.CRAB 확장자가 .KRAB로 바뀌어 기존 보안 솔루션 탐지기술 우회


[보안뉴스 원병철 기자] 최근 기승을 부리고 있는 랜섬웨어 갠드크랩의 변종 ‘갠드크랩 V4’가 발견되어 보안담당자의 주의를 요하고 있다. 갠드크랩은 2017년 10월 초에 최초로 유포된 이래 올해 4월에 V2, 5월에 V3이 발견되는 등 신변종 제작 기간이 가속되고 있다.

▲갠드크랩 유포방식[자료=수산아이앤티]


수산아이앤티 CERT팀의 분석에 따르면 이번 갠드크랩 V4는 기존 갠드크랩 V3처럼 드라이브 바이 다운로드(Drive-by Download) 방식으로 유포되고 있지만, 기존 갠드크랩의 특징이던 .CRAB 확장자가 .KRAB로 바뀌어 일반 보안 솔루션의 시그니처 탐지기술을 우회할 수 있다.

빠른 속도로 변종이 나타나고 있는 갠드크랩은 사용자의 데이터를 암호화 하고 금전을 요구하는 랜섬웨어로, 특정 제작자가 존재하지 않고 누구나 제작에 참여해 유포할 수 있는 ‘서비스형 랜섬웨어’라는 점이 특징이다.

보안 전문 매거진 ‘SC매거진’은 2018년 2월, 다크웹에서 러시아어로 된 갠드크랩 판매 광고 문구가 발견되었다고 보도했다. 보도에 따르면 갠드크랩에서 얻은 이익은 판매자와 구매자가 4:6으로 나눈다고 한다. 구매에서부터 유포까지 서비스 형태로 제공받을 수 있는 갠드크랩은 이러한 이유로 일반인도 서비스를 이용하여 랜섬웨어 공격을 쉽게 감행할 수 있다. 그만큼 다양한 형태로 변종이 될 수 있는 것이다.

▲갠드크랩 V4로 암호화된 파일에서 .KRAB 확장자를 확인할 수 있다[자료=수산아이앤티]

이와 같은 신종 랜섬웨어 예방을 위해 일반 사용자가 취할 수 있는 조치는 △악성 메일 조심하기 △사이트 접속 주의하기 △폴더의 확장자 숨김 처리 해제하기 등이 있다. 하지만 보다 강한 보안이 요구되는 기업과 조직은 신변종 악성코드가 빠르게 제작되고, 확산되는 사이버 보안 위협 상황에 맞춰 기존 시그니처 탐지 방식의 백신 프로그램보다 더 깊은 보안 방식을 도입할 필요가 있다.

수산아이앤티의 eReD Hypervisor Security(eReD)는 국내 최초로 VMI 기술을 적용한 데이터 보호 솔루션으로 화이트리스트 기반의 실행제어를 통해 취약점을 노린 신종 악성코드라 할지라도 공격이 무력화 되어 중요 데이터를 보호할 수 있다. 수산아이앤티 CERT팀은 지난 번 갠드크랩 V3에 이어 이번 신변종 갠드크랩 V4도 eReD 내에서 공격이 무력화되는 것을 확인했다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)