Home > 전체기사
가장 큰 골칫덩이 갠드크랩 랜섬웨어, 어떻게 진화해왔나
  |  입력 : 2019-02-04 16:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2018년 월별로 살펴보는 갠드크랩의 진화형태와 피해현황
이스트시큐리티 ESRC가 분석한 갠드크랩 랜섬웨어 변천사


[보안뉴스 권 준 기자] 지난해부터 현재까지 우리나라를 비롯해 전 세계의 PC 사용자들을 가장 많이 괴롭혀온 랜섬웨어는 바로 갠드크랩(GandCrab)이다. 갠드크랩은 서비스형 랜섬웨어(RaaS)의 일종으로 2018년을 대표하는 랜섬웨어이면서 가장 빈번하게 진화과정을 거쳐온 랜섬웨어라고도 할 수 있다.

[이미지=iclickart]


이러한 가운데 이스트시큐리리티 시큐리티대응센터(ESRC)에서 꾸준히 진화해온 갠드크랩의 역사를 버전별로 정리해서 주목을 끌고 있다.

공개키 방식으로 파일을 암호화하는 갠드크랩은 스팸 메일과 익스플로잇 킷을 통해 처음 등장했으며, 최근에는 변종들까지 연이어 발견되고 있다. 갠드크랩 랜섬웨어는 파일 암호화 기능을 수행하며, 암호화된 파일 뒤에 ‘.CRAB’ 확장자를 추가하는 특징을 지닌다.

갠드크랩의 구매자는 랜섬 수익을 6대 4로 나누는 ‘파트너 프로그램’ 조항에 동의해야 하며, 대형 구매자는 수익의 70%까지 요구할 수 있는 것으로 알려졌다.

갠드크랩은 구매자에게 지속적인 기술지원과 업데이트를 제공하고 있는데, 특이한 점은 러시아, 몰도바, 우즈베키스탄, 카자흐스탄 등 독립국가연합(CIS) 소속 국가 사용자들을 공격하기 위한 용도로는 구매가 불가능하며, 이 정책을 위반하면 계정이 삭제된다는 점이다.

GandCrab v1
2018년 1월 러시아 해킹 커뮤니티에서 갠드크랩이 처음 발견됐으며, 해당 갠드크랩 랜섬웨어를 유포한 사이버 범죄조직은 RIG 및 GrandSoft EK를 이용해 유포한 것으로 드러났다.

GandCrab v2
2018년 3월에는 갠드크랩 v2가 발견됐다. 여전히 .Crab 확장자를 사용하고 있었으며 일부 내용만 변경됐다. 디자이너 명의를 사칭한 갠드크랩도 3월에 발견됐고, 4월에는 갠드크랩 v2.1이 발견됐다. v2.1은 ‘창작물 무단 이용에 대한 이미지 파일을 확인’이라는 내용으로 첨부 파일 실행을 유도했다.

5월에는 입사지원서로 위장한 갠드크랩과 CVE-2017-8570 취약점으로 유포되는 갠드크랩, 그리고 유명 취업사이트의 채용공고 지원문의로 위장한 갠드크랩이 각각 발견됐다. 또한, 5월에는 합법적인 웹사이트에 숨어있는 갠드크랩이 발견되기도 했는데, 당시 해당 웹사이트는 최신 업데이트를 하지 않아 보안에 취약한 상태였던 것으로 분석됐다. 이 외에도 5월에는 한국어를 구사하는 랜섬웨어 유포자가 매크로 기반의 갠드크랩을 유포하기도 했다.

GandCrab v3
2018년 5월은 갠드크랩 v3이 Bondat 웜 변종을 통해 유포된 달이기도 하다. Bondat 웜은 이동식 디스크를 통해 유포되며 감염 PC를 좀비 PC로 만들 뿐만 아니라 브라우저 시작 페이지를 변경하고 모네로를 채굴하는 등의 악성행위를 저지른 것으로 알려졌다.

더욱이 5월은 국내 대학교를 대상으로 갠드크랩 랜섬웨어가 유포됐다. 국내 대학을 대상으로 갠드크랩 랜섬웨어를 다운로드할 수 있는 악성메일이 발송됐는데, 메일은 ‘Greetings to you an extract!’라는 제목으로, 본문은 '여보세요!'로 시작했다. 공격자는 부채를 알린다며 첨부파일 실행을 유도한 것으로 드러났다.

6월에는 국내에 피고 소환장 통지서로 사칭한 악성 이메일을 통해 갠드크랩 랜섬웨어가 창궐해 큰 피해가 발생했다. 이메일은 소환장 통지 내용으로 ‘여기서 소환 공지 다운로드’라고 적혀 있는 URL 링크 클릭을 유도했다.

또한, 6월에는 특정인 지칭과 상품 주문 제안 내용으로 위장한 악성 메일을 통해 갠드크랩 랜섬웨어가 유포됐는데, 해당 메일은 특정인 이름 및 상품 제안 내용에 하이퍼텍스트로 악성 URL을 연결하는 방식으로 제작됐다.

6월에 유포된 갠드크랩 가운데 특히 유명했던 건 바로 ‘이미지 저작권 침해 확인 내용’의 문구가 담긴 악성 메일로 유포된 갠드크랩 랜섬웨어였다. 해당 메일에는 개인 작가의 이미지를 무단으로 침해했다는 내용이 담겨 있었으며, 이미지 확인을 위해 첨부 파일(.egg) 실행을 유도했다.

이 외에도 6월에는 문자가 깨진 악성 메일을 통해 갠드크랩이 유포되기도 했는데, 해당 메일은 이력서인 것처럼 보이는 첨부파일과 메일 제목과 첨부파일 제목의 문자가 깨져 있는 점이 특징이다.

GandCrab v4
2018년 7월에는 암호화한 파일에 새로운 .KRAB 확장자를 붙이는 갠드크랩 v4가 발견됐다. 새로운 버전은 이전 버전과 달리 Salsa20 암호화 알고리즘을 적용했으며, ‘.KRAB’ 확장자를 붙이고, 랜섬노트 이름이 ‘KRAB-DECRYPT.txt’로 변경됐다. 또한, 지불은 ‘gandcrabmfe6mnef.onion’라는 주소를 가진 토르(Tor) 사이트를 사용했다.

또한, 7월에는 갠드크랩 v4.1이 다운로드 사이트로 보이는 해킹된 웹사이트들을 통해 배포됐다. v4.1의 코드에는 악성코드가 감염된 기기와 관련된 데이터를 보내는 웹사이트 목록이 포함되어 있었을 뿐만 아니라 이전 버전에서 볼 수 없었던 네트워크 통신 전략을 추가한 것으로 드러났다.

이 외에도 7월에는 국내에 입사 지원서로 위장한 악성메일로 갠드크랩 랜섬웨어가 유포됐는데, 해당 메일에는 경력직 입사 지원 내용이 담겨 있었으며, 이력서로 위장한 악성 파일 실행을 유도했다.

2018년 8월에는 갠드크랩 랜섬웨어 제작자가 해당 랜섬웨어에 대한 백신을 공개한 한국 보안업체 안랩에 보복을 시도하는 일도 발생했다.

또한, 8월에는 공정거래위원회를 사칭한 악성 메일로 갠드크랩 랜섬웨어가 유포됐다. 발견된 공정거래위원회 사칭 악성메일은 ‘전자상거래에 대한 위반행위 관련 조사통지서’ 내용으로 메일 본문 하단에 ‘붙임. 전산 및 비전산 자료 보존요청서 1부’라는제목의 첨부 파일 확인을 유도했다.

9월에도 전자상거래 위반행위 조사내용이 담긴 공정위 사칭 악성 메일이 발견됐는데, 해당 갠드크랩 랜섬웨어에서는 최신 공정위 CI 로고를 사용했다는 점이 특징이었다. 이와 함께 9월에 발견된 갠드크랩 v4.3은 톰캣(Tomcat) 서버의 취약한 비밀번호를 이용해 침투했는데, 침투에 성공한 후, 명령제어(C&C) 서버에서 랜섬웨어와 채굴 악성코드를 내려받는 추가 악성행위를 실행했다.

GandCrab v5
지난해 9월 추석 연휴동안 랜덤 확장자와 HTML 랜섬노트를 사용하고 ALPC 작업 스케쥴러 익스플로잇 악용하는 갠드크랩 v5가 발견됐다. 기존 GandCrab v4.x와 비교했을 때 달라진 점은 .KRAB이 아닌 5자리의 랜덤한 확장명을 사용한다는 점과, HTML 형식의 한국어 랜섬노트를 생성한다는 점이었다.

10월에는 기존 복호화 툴로 복구 불가능한 갠드크랩 5.0.5 변종이 출현했다. 백신업체인 비트디펜더가 갠드크랩 복호화 툴을 공개한 가운데, 갠드크랩의 최신 변종인 갠드크랩 5.0.5가 발견된 것이다. 이 때 발견된 갠드크랩 5.0.5버전은 이전에 발견됐던 갠드크랩 랜섬웨어들과 동일한 특징을 지니고 있었다. 파일들을 암호화 한 후 확장자를 5~10자리의 랜덤한 문자열 방식의 확장자로 변경하며, txt형식의 랜섬노트를 사용했다. 갠드크랩 5.0.5버전은 이전과 동일한 특성을 갖고 있음에도 비트디펜더가 공개한 복호화 툴로는 복호화가 되지 않은 문제가 발생했다.

또한, 10월에는 갠드크랩 랜섬웨어 v5.0.1, v5.0.2 변종이 연이어 출현했다. 갠드크랩 v5.0.1에서는 고정된 5자리의 랜덤한 문자열 방식에서 5~10자리의 랜덤한 문자열 방식의 확장명을 사용했고, 랜섬노트가 ‘.TXT’형식으로 변경됐다.

이어 발견된 갠드크랩 v5.0.4은 실행된 후 자신이 위치한 파일 경로에 동일한 사람 얼굴 이미지 파일 2개를 드롭하는 특징을 지녔다. 드롭된 이미지 파일은 실제로 하는 역할은 없으며, 해당 갠드크랩 랜섬웨어 변종이 공격 타깃으로 삼고 있는 인물로 추정된다는 게 ESRC 측의 설명이다.

11월에는 비너스락커(VenusLocker) 랜섬웨어 조직이 활동을 본격화해 갠드크랩을 한국에 집중 유포했다. 11월 20일 오전부터 이력서 사칭에서 이미지 무단 사용 관련 협박 내용을 추가했고, 오후에는 임금체불 관련 출석 요구서 내용으로 위장해 갠드크랩 랜섬웨어를 유포한 것으로 드러났다.

또한, 해커 조직이 파일공유 서버를 구축해 갠드크랩 V5.0.4 변종이 유포된 달도 11월이다. 과거 비너스락커 랜섬웨어를 유포한 조직이 한국에서 개발된 ‘Berryz WebShare’ 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하기도 했다.

이와 함께 11월에는 MS 오피스 워드의 매크로 기능을 악용하는 갠드크랩 V5.0.4이 국내 사용자를 대상으로 급속히 확산됐다. 해당 갠드크랩 5.0.4 버전은 2018년 11월 15일 오전에 한국어 기반의 환경에서 제작됐고, 제작된 악성 문서의 VBA 매크로 코드는 분석을 방해하기 위해 대부분 난독화되어 있는 상태였다고 ESRC 측의 설명했다.

또한, 이력서로 위장한 갠드크랩도 11월 발견됐는데, 해당 메일에는 악성 알집 파일이 첨부되어 있었고, 파일을 실행하면 해당 파일이 매크로를 실행시키는 방식으로 랜섬웨어를 다운로드했다. 글로벌 기업의 상표명으로 위장하거나 국내 기관을 사칭한 이메일을 통해 유포되어온 갠드크랩 랜섬웨어도 11월 출현했다. 발견된 랜섬웨어는 갠드크랩 V5.0.3으로, 파일 속성의 저작권과 등록상표를 해외 유명 백신업체로 위장했지만, 해당 버전의 갠드크랩은 복호화 툴이 공개되어 현재 복구가 가능한 상황이다.

2018년 12월에는 갠드크랩 랜섬웨어 v5.0.9가 등장했다. 해당 갠드크랩은 기존 갠드크랩 랜섬웨어와는 다르게 사용자화면에 “We will become back very soon! ;)”이라는 팝업창을 띄우게 된다. 사용자가 확인버튼을 클릭하면 기존 갠드크랩 랜섬웨어와 동일하게 파일을 암호화시키며, 확장자를 5~10자리의 랜덤한 문자열 방식의 확장자로 변경하고, txt형식의 랜섬노트를 사용하는 것으로 분석됐다.

또한, 12월에는 ‘이미지 무단사용 안내메일’이라는 내용으로 갠드크랩 랜섬웨어를 유포하는 시도가 발견되기도 했다. 해당 갠드크랩의 경우 내부 ‘바로가기’ 파일(LNK)를 새롭게 변경했는데, 이전부터 제작한 LNK 파일을 1년 넘게 사용해 오다가 최근 해당 LNK 파일에 대한 탐지율이 높아져 감염율이 낮아짐에 따라 12월 2일에 LNK 파일을 새로 변경한 것으로 확인됐다고 ESRC 측은 밝혔다.

12월에 주목을 끌었던 갠드크랩 유형은 바로 연말정산 시즌을 겨냥한 것이다. 해당 갠드크랩은 연말정산 시즌을 겨냥해 국세청 홈텍스를 사칭, 악성 메일로 랜섬웨어를 유포했다. 첨부 파일 ‘2018년 연말정산 안내.alz’에는 2개의 LNK 파일과 1개의 DOC 파일이 담겨 있는데, 사용자가 LNK 파일을 클릭하면 갠드크랩 랜섬웨어가 실행되어 바탕화면이 변경되고 주요 데이터가 암호화된다.

올해 1월에는 악성광고 캠페인을 통해 Vidar 인포스틸러와 갠드크랩 랜섬웨어가 결합된 형태로 배포됐으며, 컴퓨터 백신 프로그램을 무력화하는 갠드크랩 랜섬웨어의 변종이 발견되기도 했다. 또한, 입사지원서로 위장한 갠드크랩 랜섬웨어 v5.1이 발견됐는데, 해당 갠드크랩은 바탕화면 변경 파일의 파일명이 pidor.bmp에서 bxmeoengtf.bmp로 변경된 것으로 분석됐다.

지금까지 지난 1년간 진화를 거듭해온 갠드크랩 랜섬웨어의 변천사를 ESRC에서 분석한 내용을 중심으로 살펴봤다. 이렇듯 국내외적으로 큰 피해를 입힌 갠드크랩 랜섬웨어에 감염되지 않도록 하기 위해서는 아무리 국가기관에서 보낸 메일이라도 직접 확인하기 전까지는 첨부파일을 절대 클릭해서는 안 된다. 또한, PC에 설치된 바이러스 백신과 운영체제는 항상 최신 상태로 유지해야 하며, PC내 중요 파일은 반드시 백업을 한 후, PC 외부에서 보관해야 한다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향