Home > 전체기사

브랜드명 바꾼 카오스 빌더, 드디어 어엿한 랜섬웨어로 거듭나

  |  입력 : 2022-05-30 17:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
어설프게 류크 이름을 이용했다가 역풍을 맞았던 카오스 빌더가 무료 서비스를 앞세워 꾸준히 버전업을 하더니 진짜 랜섬웨어가 되어 나타났다. 그러면서 이름도 야시마로 바뀌었다. 0원이던 것이 가격도 붙었다. 야시마 혹은 카오스라는 이름의 위협이 곧 많은 조직들을 괴롭힐 전망이다.

[보안뉴스 문가용 기자] 카오스(Chaos)라는 멀웨어 빌더가 1년 전에는 와이퍼(wiper) 쪽으로 가닥을 잡는 듯 하더니 최근 이름을 야시마(Yashma)로 바꾸며 랜섬웨어로 업종을 변경하는 분위기다. 이는 보안 업체 블랙베리(BlackBerry)가 연구 및 조사하여 얻은 결과로, “카오스의 행보가 심상치 않아 지켜봐야 한다”는 경고가 함께 나왔다.

[이미지 = utoimage]


카오스는 작년 6월 류크(Ryuk) 랜섬웨어의 닷넷(.NET) 버전의 빌더로 처음 세상에 등장했다. 류크가 워낙 사이버 범죄자들 사이에서 유명했기 때문에 브랜드 파워를 이용해 입지를 굳히려는 운영자들의 전략이었다. 실제로 카오스를 통해 만들어내는 결과물은 류크와 완전히 달랐다. 랜섬웨어가 아니라 삭제형 멀웨어에 가까웠기 때문이다. 카오스가 만들어낸 바이너리에 당한 디스크는 파일 겹쳐쓰기가 진행돼 복구가 불가능해졌다.

이 때문에 카우스의 평판은 다크웹에서도 악화됐다. 류크라는 이름값을 악용한다는 소문이 났다. 그러면서 이 멀웨어의 이름이 카오스로 굳어져갔다(이전까지는 류크의 빌더로서만 알려져 있었다). 카오스 운영자들은 다양한 버전을 빠르게 시장에 내놓기도 했고, 그러면서 점점 랜섬웨어에 가까워지긴 했다. 하지만 네 번째 버전까지는 누가 뭐래도 와이퍼의 성격이 뚜렷했다.

블랙베리의 부회장인 이스마엘 발렌주엘라(Ismael Valenzuela)는 “각종 포럼들에 올라온 정보들을 분석했을 때 카오스의 오리지널 버전은 한 명의 개발자가 만들어낸 작품으로 보인다”고 한다. “해당 개발자는 랜섬웨어에 있어서 초보인 것처럼 보이며, 그래서 그런지 포럼 멤버들로부터 다양한 피드백을 접수하기도 했습니다. 아주 기본적인 것부터 잘못되어 있던 멀웨어가 그런 피드백을 바탕으로 점점 구색을 갖춰가기 시작했습니다.”

카오스 내부 들여다보기
카오스는 100개 이상의 파일 확장자를 노리고 암호화 한다. 시스템 파일들을 피해가려는 듯한 모습이라고 전문가들은 분석한다. 시스템 파일을 암호화 하면 피해자가 협박 편지 및 지불 안내문조차 볼 수 없기 때문이다. 그리고 암호화를 마친 폴더에는 협박 편지를 txt 파일로 저장해 둔다. 파일 이름은 read_it.txt이다. 이런 기본적인 기능 외에 몇 가지 기능들이 버전업을 통해 추가됐다. 추가된 기능들에는 셰도 복사본 삭제, 백업 카탈로그 삭제, 윈도 복구 모드 불능, 피해자의 데스크톱 배경화면 변경, 파일 확장자 목록 변경, 암호화 기능 강화 등이 있다.

암호화 기능은 AES-256 알고리즘을 기반으로 하고 있는데, 세 번째 버전에서야 겨우 추가됐다. 그나마도 1MB보다 용량이 작은 파일만 암호화가 가능했다. 그러므로 삭제 기능이 훨씬 더 도드라지는 게 사실이었다. “삭제 기능 혹은 파괴 기능은 우연히, 실수로 도입된 것이 아닙니다. 프로그래밍이 된 방식을 보면 개발자가 의도적으로 삽입한 것이 분명하죠. 하지만 왜 굳이 랜섬웨어에 삭제 기능을 넣은 건지는 정확히 알기 힘듭니다.”

여러 시행착오 끝에 작년 말 카오스의 4번째 버전이 나왔다. 그러면서 조금은 더 랜섬웨어에 가까워진 결과물을 내긴 했지만, 여전히 랜섬웨어로 분류되기에는 어려웠다. 그러다가 지난 달 오닉스(Onyx)라는 해킹 그룹이 카오스 빌더를 가지고 자신들만의 새로운 랜섬웨어를 개발하는 데 성공하면서 갑자기 카오스가 주목을 받기 시작했다. 오닉스가 멀웨어를 만든 버전은 금방 다른 해커들 사이에 퍼지기 시작했다. 하지만 이 버전도 완벽한 건 아니었다. 2.1MB 이상 되는 파일은 여전히 암호화를 하지 못하고 파괴했기 때문이다.

이 버전은 미국의 주요 산업과 시설들에 피해를 끼치기 시작했다. 블랙베리에 의하면 “공격자들은 피해자의 네트워크에 침투해 들어가 훔칠 수 있는 데이터를 전부 훔쳐낸 뒤 오닉스 랜섬웨어를 흩뿌리기 시작했다”고 한다. 당연히 위에서 설명한 대로 카오스 4.0으로 만들어진 랜섬웨어였다. “카오스 4.0은 사용자가 협박 편지와 파일 확장자 목록을 마음대로 바꿀 수 있게 해 주는 유연성을 갖추고 있었습니다.” 참고로 오닉스는 이중 협박 전략을 사용하며 피해자들을 괴롭히는 단체였다.

카오스, 야시마라는 새로운 이름으로
2022년초, 카오스 빌더의 5번째 버전이 등장했다. 드디어 대형 파일도 손상 없이 암호화 할 수 있는 버전이었다. 2022년 중반에 6번째 버전도 나왔는데 5번째 버전과 크게 다를 바가 없었다. 다만 이름이 야시마로 바뀌었다. 정식 랜섬웨어로서 브랜딩이 되어도 될 만하다는 자신감을 개발자가 갖게 된 것으로 보인다. 실제로 야시마 이전 버전의 카오스 빌더는 전부 무료였지만, 야시마부터는 17달러의 값을 받기 시작했다.”

별 차이가 없다고 했지만 야시마는 5번째 카오스 버전과 달리 피해자의 장비에서 다양한 서비스들을 중단시키는 기능을 가지고 있기도 했다. 백신 솔루션, 볼트, 백업, 스토리지, 원격 데스크톱 서비스 등을 강제 종료시킬 수 있었다.

하지만 아직까지 5번째와 6번째 버전이 큰 사고를 일으킨 사례는 아직 나타나지 않고 있다. 블랙베리는 “시간이 흐름에 따라 카오스 빌더와 야시마가 크게 유행할 것”이라고 예상하고 있다. “카오스 혹은 야시마가 위험해 보이는 데에는 여러 가지 이유가 있습니다. 그 동안 무료로 배포되면서 여러 해킹 그룹이 손에 익혔고, 다양한 버전업을 통해 그 유연성이 입증된 바 있습니다. 또한 오닉스를 통해서도 랜섬웨어 공격의 가능성 역시 드러났고요. 게다가 지금도 가격이 많이 낮은 편입니다.”

발렌주엘라는 “카오스 빌더는 꽤나 사용하기가 쉽고 간편해 누구나 편리하게 손을 댈 수 있다”고 경고한다. “사용하기 쉬운 도구는 많은 해커들이 여러 가지 시험을 위해 사용하기도 합니다. 가벼운 공격에도 적극 활용될 수 있다는 것이지요. 그렇다는 건 크고 작은 조직들 모두가 위협에 노출되어 있다는 뜻이 되고요. 현재 카오스 공격자들이 노리는 표적이 뚜렷하게 정해져 있지 않은 만큼 그 어떤 조직들도 안심할 수 없습니다.”

3줄 요약
1. 류크의 빌더인 척 다크웹에 등장했던 카오스 빌더.
2. 하지만 여태까지는 파괴형 멀웨어로서의 기능이 더 확연했음.
3. 그러나 올해 중반부터는 랜섬웨어로 발돋움하고 브랜드 이름마저 바꿈.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)