Home > 전체기사
사탄 랜섬웨어의 후계자? 5ss5c라는 이름의 랜섬웨어 등장
  |  입력 : 2020-01-16 14:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개발이 꾸준히 이뤄졌던 사탄 랜섬웨어...갑자기 중단된 이후 5ss5c 등장해
협박 편지는 중국어로 작성되어 있고, 범인의 메일은 러시아의 도메인


[보안뉴스 문가용 기자] 사탄(Satan)이라는 랜섬웨어의 배후에 있는 자들은 디비거(DBGer), 럭키(Lucky), 아이언(Iron)이라는 멀웨어와도 관련이 있는 것으로 알려져 있다. 여러 멀웨어를 개발하고 운영을 해본 이 집단은 최근 사탄 랜섬웨어를 한 단계 발전시켜 세상에 내놓았다. 그 이름은 5ss5c이다.

[이미지 = iclickart]


멀웨어 분석가인 바트 블레이즈(Bart Blaze)에 의하면 공격자들이 사탄의 업그레이드를 위해 작업을 시작한 건 최소 작년 11월부터라고 한다. “현재 확보된 샘플을 분석했을 때 두 번째 스프레더 모듈이 있는 걸 발견할 수 있었습니다. 이름은 poc.exe였고요. Poc는 보통 개념증명용 코드에 붙이는 이름이죠. 공격자들이 아직 실험 단계에 있는 것으로 보입니다.”

5ss5c와 사탄의 연관성을 드러내는 증거에는 여러 가지가 있다. “먼저 사탄은 꽤나 업데이트가 자주 이뤄졌던 랜섬웨어입니다. 새로운 기술과 기능들이 부지런히 추가됐죠. 그런데 2019년 여름 즈음부터 이러한 행태가 사라졌어요. 그러고는 5ss5c가 11월부터 등장하기 시작했습니다. 사탄과 비슷한 면모를 가지고 말이죠.”

그렇다면 두 랜섬웨어는 어떤 점에서 비슷한 면모를 보일까? 블레이즈는 다음과 같은 것들을 꼽는다.
1) 다운로더를 통해 런칭되는 과정
2) 확산을 위해 이터널블루(EternalBlue)를 사용하는 점
3) 사탄이 가지고 있던 아티팩트들 일부가 겹침
4) 감염 전략, 기술, 과정(이는 디비거에서도 공통적으로 발견됨)

그러나 새로운 부분도 눈에 띈다. “Poc.exe의 스프레더를 패킹하는 데 에니그마 버추얼박스(Enigma VirtualBox)가 활용되었습니다. 파일은 C:\ProgramData\poc.exe에 드롭되고, 다음 명령을 실행합니다.”
cd /D C:\ProgramData&star.exe --OutConfig a --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload C:\ProgramData\down64.dll --TargetIp

이 명령과 매우 비슷한 명령어가 사탄에서도 발견된다고 블레이즈는 설명한다. “사탄에는 이런 코드가 있죠.”
cmd /c cd /D C:\Users\Alluse~1\&blue.exe --TargetIp & star.exe --OutConfig a --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload down64.dll --TargetIp

또한 5ss5c도 사탄 랜섬웨어처럼 암호화 하지 않는 파일들을 목록으로 만들어 따로 보관해둔다. 둘이 정확히 같지는 않은데, 5ss5c가 사탄보다 더 긴 목록을 가지고 있다. “사탄은 치후360(Qihoo 360)과 관련이 있는 파일들을 암호화 하지 않습니다. 5ss5c에서는 360다운로드(360download)와 360세이프(360safe) 파일들도 제외되었습니다. 암호화 하는 파일도 살짝 다릅니다.”

5ss5c 랜섬웨어의 협박문은 중국어로 작성되어 있다. “복호화 하려면 1비트코인을 내야 한다고 피해자들을 협박합니다. 48시간이 지나면 금액이 두 배로 늘어난다고도 하고요. 그런데 이상하게 지불을 해야 할 곳이 지정되지 않은 상태입니다. 암호화가 끝난 파일의 확장자에 공격자의 이메일 주소가 적혀있을 뿐입니다.” 이메일 주소는 5ss5c@mail.ru이다.

블레이즈는 5ss5c가 현재 개발 단계에 있기 때문에 아직 이 부분(지불을 위한 계정이나 주소)이 구비되지 않은 것으로 보인다고 분석한다.

한편 사탄 랜섬웨어는 서비스형 랜섬웨어(RaaS)로 제공되기도 했다. 따라서 5ss5c 랜섬웨어도 그런 식으로 배포될 가능성이 낮지 않다.

3줄 요약
1. RaaS 랜섬웨어로서 악명 높은 사탄의 후계자, 5ss5c 등장.
2. 파일 암호화 한 후 피해자들에게 1비트코인을 48시간 안에 입금하라고 요구.
3. 하지만 돈을 보낼 곳이 명시되어 있지 않음. 아직 개발 단계에 있는 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)