Home > 전체기사

은퇴한 갠드크랩 공격자들, 레빌 랜섬웨어 새로 만들어 활동

  |  입력 : 2019-09-26 14:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
18개월 만에 20억 달러 벌었다며 은퇴한 갠드크랩 랜섬웨어 공격자들
얼마 전부터 새롭게 등장한 레빌 랜섬웨어, 갠드크랩과 여러 면에서 비슷


[보안뉴스 문가용 기자] 악명 높은 랜섬웨어인 갠드크랩(GandCrab)의 개발자들은 올해 ‘은퇴’를 발표했었다. 그들의 발표에 따르면, 18개월 만에 20억 달러가 넘는 돈을 벌었기 때문에 더 이상 활동하지 않아도 된다는 것이었다. 물론 은퇴를 진지하게 믿은 사람은 아무도 없었다.

[이미지 = iclickart]


최근 보안 업체 시큐어웍스(Secureworks)가 이 은퇴자의 것으로 강력하게 의심되는 흔적을 찾아냈다. “갠드크랩의 배후 세력인 것으로 알려진 골드 가든(Gold Garden)이 새로운 랜섬웨어를 만들어 활동하는 것으로 보입니다. 이 랜섬웨어의 이름은 레빌(REvil)이며, 최근 파괴적인 모습을 보이고 있습니다.”

레빌이 처음 세상에 모습을 드러낸 건 4월 중순의 일이다. 골드 가든이 은퇴를 발표하기 약 한 달 전쯤이다. 레빌은 텍사스 주의 주 정부 기관과 시설 20여 군데를 마비시켰고, 미국 전역의 치과 의사들을 곤란하게 만들었다. 그러면서 서서히 악명을 떨쳐온 레빌의 가장 큰 특징은 최소한의 감염으로 최대한의 피해를 일으키는 전략을 구사하는 것이었다. 즉 관리 대행 서비스 업체(MSP)와 같이 많은 사람이 영향을 받는 곳이 주요 대상이었다.

갠드크랩이 사라진 빈 자리를 레빌이 빠르게 차지하기 시작했다. 시큐어웍스는 레빌을 조사하면서 배후에 있는 자들에 골드 사우스필드(Gold Southfield)라는 이름을 붙였다. 그러면서 여러 가지 특징을 파악해낼 수 있었다. “먼저는 갠드크랩처럼 대여 형태로 배포되는 랜섬웨어였습니다. 또한 레빌을 대여한 사용자들은 오라클 웹로직(Oracle WebLogic) 익스플로잇, 악성 스팸, 피싱 이메일, 침해된 MSP 등의 방법을 동원해 레빌을 퍼트리고 있었습니다.”

초기에 확보한 레빌 샘플을 분석했을 때 시큐어웍스 측은 코드에서 꽤나 많은 부분이 갠드크랩과 겹친다는 걸 알 수 있었다. 우연이라고 하기 힘들 정도였다. “예를 들어 레빌의 문자열 복호화 기능은 갠드크랩의 복호화 기능과 거의 완벽하게 똑같았습니다. 두 랜섬웨어가 C&C URL을 구축하는 방법과 로직도 같았습니다. 그 외에도 초기 레빌 버전은 차라리 업그레이드 된 갠드크랩이라고 보는 편이 맞을 정도로 흡사했습니다.” 그 외에도 갠드크랩과 레빌은 러시아의 시스템은 공격하지 않는다는 특징을 가지고 있기도 했다.

시큐어웍스의 연구원인 롭 판타조풀로스(Rob Pantazopoulos)는 “아직 골드 가든 공격자들이 은퇴를 선언하고 갠드크랩 공격을 중단한 이유에 대해서는 정확하게 판단하기가 어렵다”고 말한다. “가장 먼저 떠올려볼 수 있는 건, 사법 기관들입니다. 자신들이 추적당하고 있으며, 정부 기관의 관심사가 되었다는 걸 느꼈겠죠. 사법 기관의 주목을 원하는 범죄자들은 아무도 없습니다. 시선을 돌리기 위해 은퇴를 선언하고 갠드크랩을 버린 것일 수 있습니다.”

또 다른 가능성은 골드 가든 내부에서 분열이 일어났다는 것이다. “골드 사우스필드가 분리되 나온 하위 그룹일 수 있습니다. 이 시나리오가 맞다면, 기존 골드 가든에서 많은 이들이 나온 것으로 보입니다. 이런 경우 갠드크랩 측에서는 충분히 은퇴를 발표할 만하죠. 그리고 진심으로 갠드크랩을 사멸시킨 것일 수도 있습니다. 다만 갈라져 나온 분파에서 갠드크랩의 유산을 이어가고 있는 것이죠.”

확실히 기술적으로 레빌은 갠드크랩을 많이 닮았다. “레빌과 갠드크랩의 차이는 사용자들 뿐입니다. 이를 대여해서 활용하는 여러 범죄 단체의 사용 방법에서만 유의미한 차별성이 나타날 뿐, 그 기반이 되는 모든 것은 똑같습니다.”

보안 업체 피델리스(Fidelis)는 지난 달 레빌에 대해 “2사분기 동안 가장 높은 활동력을 보여준 멀웨어”라고 표현했다. “전체 랜섬웨어 공격의 12.5%를 차지했습니다. 랜섬웨어 시장에서 빠르게 치고 올라오는 강자라는 겁니다. 이것보다 오래 활동했던 류크(Ryuk) 랜섬웨어의 경우 24%를, 포보스(Phobos)의 경우에는 17%를 차지하고 있는 상황에서 말이죠.”

보안 업체 멀웨어바이츠(Malwarebytes) 역시 레빌을 추적해오고 있는데, “레빌은 경쟁력 높은 이 랜섬웨어 시장에서 꽤나 큰 성공을 거두고 있다”며 “갠드크랩이 사라진 자리를 완벽하게 차지하고 있다”고 설명한다. “갠드크랩은 랜섬웨어 역사에 기록될 수준의 성공을 거둔 멀웨어입니다. 그런 공격을 실시한 자들이 은퇴를 할 리가 없습니다. 애초부터 의심스러운 발언이었고, 그것이 레빌로 증명되고 있는 것입니다.”

3줄 요약
1. 은퇴한 갠드크랩 랜섬웨어 공격자들, 다시 나타난 듯.
2. 이들이 새롭게 들고 나온 무기는 레빌이라는 랜섬웨어.
3. 경쟁 심한 랜섬웨어 시장에서 빠르게 입지를 굳혀가는 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)