Home > 전체기사
비트페이머와 거의 똑같은 랜섬웨어, 도플페이머 등장
  |  입력 : 2019-07-16 14:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비트페이머 배후에 있던 인드릭 스파이더 그룹, 내부적으로 나뉜 듯
도플페이머, 암호화 기술이라는 측면에서는 비트페이머보다 향상된 모습 보여


[보안뉴스 문가용 기자] 보안 전문가들이 새로운 랜섬웨어 변종을 찾아냈다. 이전에 발견됐던 랜섬웨어인 비트페이머(BitPaymer)와 코드가 유사해서 이름을 도플페이머(DoppelPaymer)라고 붙였다. 비트페이머는 인드릭 스파이더(Indrik Spider)라는 공격 단체가 운영하던 것이다.

[이미지 = iclickart]


도플페이머 샘플은 지난 6월부터 시작된 대형 캠페인에서부터 발견됐다. 이 캠페인의 일환으로 공격자들은 텍사스의 에드카우치 시와 칠레의 농업부 등을 공격했다고 보안 업체 크라우드스트라이크(CrowdStrike)는 밝혔다.

비트페이머와 도플페이머의 코드는 상당 부분 닮아있지만, 차이점도 존재한다. 유사점과 차이점을 분석한 크라우드스트라이크는 “인드릭 스파이더 그룹이 갈라졌고, 한 분파가 비트페이머와 드리덱스(Dridex)의 소스코드를 혼합해 사용하기 시작한 것으로 보인다”고 설명했다. “한 방에 큰 금액을 노리기 위해 주로 기업을 표적으로 삼는 공격을 하는 것으로 보입니다.”

크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)는 “최근 랜섬웨어 공격자들은 정부 기관, 산업체, 의료 분야 등 큰 돈을 내놓을 만한 조직을 표적으로 삼아 공격한다”며, “일반 개인에게까지 흩뿌리는 살포식 랜섬웨어 공격은 사이버 공격 초보자들만 하고 있다”고 최근 추세에 관해 설명했다.

인드릭 스파이더는 2014년에 결성된 것으로 보이는 공격 단체로, 게임오버 제우스(GameOver Zeus)라는 범죄 조직과 관련성이 깊은 것으로 의심된다. 인드릭 스파이더는 결성 이후 드리덱스라는 악명 높은 멀웨어를 만들어 공격을 일삼기 시작했다. 드리덱스 캠페인은 2015~2016년에 특히 기승을 부렸고, 당시 최악의 사이버 범죄 공격으로 꼽히기도 했다. 그리고 2017년 8월, 인드릭 스파이더는 비트페이머를 앞세워 랜섬웨어 공격을 실시했다.

비트페이머는 최초 출시 이후 여러 번의 변경을 거쳤다. 그러다가 2018년 11월 대대적인 업데이트가 있었다. 협박 편지에 피해자의 이름이 직접 기재되기 시작했다. 뿐만 아니라 암호화를 거친 파일의 확장자에도 피해자의 이름이 들어갔다. 암호화 방식 자체도 256비트 AES로 바뀌었다. 이전에는 128비트 RC4가 사용됐다. 전문가들은 ‘상당한 업그레이드’라고 평했다.

가장 최근에 발견된 비트페이머 캠페인에서는, 최소 15개의 조직들이 표적 공격을 당했다. 2018년 11월의 일이었으나 2018년 중반까지도 이어졌다. 그런 상태에서 6월, 돌연 비트페이머와 똑같이 생긴 도플페이머가 나타난 것이다. 분석 결과 도플페이머가 만들어진 시기는 올해 4월인 것으로 나타났다. 하지만 주요한 기능이 일부 빠져 있었고, 따라서 ‘실험용 샘플’일 가능성이 높았다. 현재까지 크라우드스트라이크는 8개의 도플페이머 빌드들과 3개의 피해 조직을 찾아내는 데 성공했다. 범인들이 요구한 금액은 최소 2만 5천 달러였고, 총합이 120만 달러를 넘었다.

“사이버 공격자들은 나중에 어떤 종류의 멀웨어를 사용하든, 처음에는 이모텟(Emotet)이나 드리덱스와 같은 멀웨어를 써서 최초 침투에 성공하곤 합니다. 그런 다음에는 권한 상승 공격 등을 이어가면서 횡적인 움직임을 시도하고요. 그런 다음 중요한 부분에 도달하거나, 충분한 영역을 확보하면 랜섬웨어를 퍼트리는 것이죠. 그게 최근 랜섬웨어 공격자들의 수법입니다.” 메이어스의 설명이다.

“도플페이머와 비트페이머의 코드는 많은 점에서 비슷합니다. 도플페이머를 만든 사람이 비트페이머의 소스코드를 확보했거나, 소유하고 있었을 것 같습니다. 원래 있던 것을 가지고 살짝 비틀어서 만든 게 도플페이머죠. 암호화 기술이나 협박 편지의 문구 정도가 바뀌었습니다.” 그 외 피해자들에게 지불을 요구하는 방식이나, 협박 편지에 들어가는 내용의 요소들은 큰 틀에서 같다고 메이어스는 말한다.

하지만 결국 나중에 나온 도플페이머가 암호화 기능에 있어서는 보다 향상된 면모를 보이고 있다. “도플페이머의 파일 암호화 과정은 비트페이머에 비해 속도가 훨씬 빠릅니다. 또한 도플페이머는 특정 명령행이 입력된 이후에만 실행됩니다. 명령행이 없거나 부정확하면 도플페이머가 작동을 멈춥니다. 또한 프로세스해커(ProcessHacker)라는 기술을 사용하기도 합니다.”

프로세스해커란 정상 오픈소스 관리자 유틸리티로, 시스템 내에서 돌아가고 있는 프로세스나 서비스를 중단시키는 데 사용된다.

크라우드스트라이크는 “현재 비트페이머와 도플페이머가 동시에 진행되고 있어, 일반 조직들과 방어 담당자들은 둘 다 신경 써야 할 것”이라고 경고했다.

3줄 요약
1. 비트페이머 랜섬웨어에서 곁가지로 나온 듯한 ‘도플페이머’ 랜섬웨어 등장.
2. 비트페이머 공격자가 내부적으로 나뉜 후 한쪽에서 도플페이머 개발한 듯.
3. 비트페이머와 도플페이머, 둘 다 활동 중이어서 방어자들은 다 신경 써야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제