Home > 전체기사

영화 매트릭스를 테마로 삼은 새로운 랜섬웨어, 메가코텍스

  |  입력 : 2019-05-07 09:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
협박 편지는 ‘모피어스’가 읽어주는 듯...돈 요구 빠지고 상담 요구 들어가
48시간 만에 47번 감염시키기도...도메인 제어기 침해하고 크리덴셜 훔쳐


[보안뉴스 문가용 기자] 메가코텍스(MegaCortex)라는 랜섬웨어의 새로운 변종이 나타났다. 그런데 기존 랜섬웨어와는 다른 점이 한두 가지 있어 눈길을 끈다.

[이미지 = iclickart]


하나는 이곳 저곳에서 랜섬웨어 공격자들이 영화 매트릭스의 팬임이 드러난다는 것으로, 메가코텍스라는 이름 자체가 이미 매트릭스 1에서 ‘네오’가 근무하던 회사의 이름이라고 한다. 하지만 보안 업체 소포스(Sophos)는 철자가 틀렸다고 지적했다. 피해자들에게 전하는 협박 편지도 마치 매트릭스의 모피어스가 말하는 것처럼 작성되어 있다.

또 다른 특이한 점은 협박 편지에 돈을 요구하는 내용이 없다는 것이다. 범인들은 “당신들 회사의 사이버 보안을 강화하는 방법에 대해 상담을 신청하라”는 말만 적어두고 있다. 그러면서 “상담을 받으면 한번 더 공격하는 일은 없을 것”이라는 협박 같은 약속도 덧붙였다.

메가코텍스 랜섬웨어는 소포스가 지난 주 처음 발견한 것으로, 미국, 유럽, 캐나다에서 대규모로 감염을 확산시키고 있는 중이라고 한다. “48시간 만에 47번의 공격을 성공시킨 적도 있습니다. 1시간에 1번꼴로 누군가를 마비시킨 것이죠.”

소포스의 수석 연구원인 앤드류 브랜트(Andrew Brandt)는 “많은 고객사들에서 제보가 들어와서 조사를 시작하게 됐다”며 “침해된 도메인 제어기에서부터 공격이 시작되고 있었고, 공격자들은 관리자 크리덴셜을 훔쳐서 파워셸 스크립트를 실행하는 데 활용하고 있었다”고 설명한다.

하지만 소포스는 아직 메가코텍스의 감염 경로와 방법의 세부적인 내용을 아직 전부 파악하고 있지는 못하다. “조사가 진행 중”에 있기 때문이다. 브랜트는 블로그 포스트를 통해 “현존하는 이모텟(Emotet)과 큐봇(Qbot)에 감염된 조직들이 메가코텍스에 감염되는 것으로 보인다”며 “이모텟과 큐봇을 먼저 탐지해봄으로써 메가코텍스를 미리 대비하는 것이 필요하다”고 말한다.

“이모텟과 큐봇이라는 멀웨어가 애초에 다른 멀웨어를 불러들이는 데에 특화되어 있는 악성 소프트웨어이기도 합니다. 그렇기 때문에 이 둘에 의해 다른 멀웨어 공격이 시작된다는 게 이상한 건 아닙니다. 더 조사를 해봐야 확실해지겠지만 이모텟과 큐봇을 통해 메가코텍스가 감염되는 것 같습니다.”

또 다른 보안 업체 시스코 시스템즈(Cisco Systems)의 고급 위협 부문 수석 관리자인 제시카 베어(Jessica Bair)는 “메가코텍스가 다른 여러 랜섬웨어들과 비슷하기도 하지만 다른 부분도 있다”며 “크리덴셜을 훔치고, 도메인 제어기를 침해해서 배치 스크립트(batch script)를 실행시킨다는 것은 랜섬웨어로서 드문 일”이라고 짚었다.

3줄 요약
1. 매트릭스 팬이 만든 듯한 랜섬웨어 메가코텍스가 지난 주 대량으로 발견됨.
2. 아직 정확한 감염 경로 모르지만, 이모텟과 큐봇이라는 다운로더형 멀웨어 사용된 듯.
3. 크리덴셜을 훔치고 도메인 제어기 침해해 스크립트 실행시키는 독특한 특성을 가지고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)