Home > 전체기사
새로운 랜섬웨어 PXJ, 이중 암호화로 피해자 압박해
  |  입력 : 2020-03-16 17:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
PXJ, 바이러스토탈에 2월 29일 처음 샘플 올라와...AES와 RSA 알고리즘 사용
랜섬웨어는 이제 각종 사이버 공격의 기본기...방어 계획에도 반드시 포함되어야 해


[보안뉴스 문가용 기자] 새로운 랜섬웨어가 발견됐다. 이름은 PXJ로, 2020년 초기에 갑작스레 등장했다. 기본적인 기능은 기존 랜섬웨어들과 크게 다르지 않은데, 코드 기반이 판이하다고 한다. 2월 29일 처음으로, 누군가 바이러스토탈(VirusTotal)에 샘플을 업로드 하면서 처음 보안 업계에 모습을 드러냈다.

[이미지 = iclickart]


이 샘플을 분석한 IBM 엑스포스 팀의 메간 로디(Megan Roddie)는 자사 블로그를 통해 “새로운 랜섬웨어가 요즘 정말 자주 등장한다”며 “저렴한 가격에 랜섬웨어를 구매하는 자들이 늘어나고 있다는 암시장 상황을 반영하는 현상”이라고 분석한다. “랜섬웨어가 이제 모든 공격에 감초처럼 들어가는 요소가 되었어요. 랜섬웨어로 협박하면서 시선을 돌리고 다른 공격을 한다든지, 랜섬웨어 협박금 외에도 다른 수익거리를 만든다든지 하는 식으로 말이죠.”

현재 시점에서 PXJ의 침투 방법은 밝혀지지 않고 있다. 하지만 다른 랜섬웨어와 마찬가지로 PXJ도 침투에 성공한 이후부터는 파일 복구를 불가능하게 만드는 작업을 시작하고, 암호화 후 원본 파일을 삭제한다. 휴지통까지도 깨끗하게 비운다. 이 과정에서 볼륨 셰도우 복사본들도 삭제되고, 윈도우 오류 복구 서비스도 비활성화 된다.

암호화를 위해서 PXJ는 암호화 알고리즘을 이중으로 사용하는 것으로 나타났다. 하나는 AES고, 다른 하나는 RSA다. 로디는 “최근 랜섬웨어 공격자들 사이에서 점점 자주 나타나는 기법”이라고 설명한다. “복구 가능성을 조금이라도 낮추기 위해 이중 암호화를 채용하는 공격자들이 늘어나고 있습니다.”

이중 암호화 작업을 할 때 먼저 사용되는 건 AES 알고리즘이라고 한다. 대칭형 사이퍼이며, 암호화 속도가 더 빠르기 때문이다. 즉 암호화가 중간에서 중단될 가능성을 최대한 낮추기 위한 선택이라는 것이 로디의 설명이다. “그런 후 AES 키를 보다 강력한 비대칭 알고리즘으로 암호화 합니다. 그게 바로 RSA이죠. 여기까지 작업이 끝나면 협박 편지를 피해자에게 노출시킵니다.”

공격자는 피해자가 정해진 기한 내에 공격하지 않을 경우, 매일 돈을 2배로 올린다는 내용까지 협박 문구에 넣고 있다. 기한은 보통 일주일인 것으로 알려져 있다. 또한 피해자가 계속해서 돈 내기를 거부할 경우 복호화 키를 완전히 삭제한다고도 한다.

바이러스토탈에 올라온 랜섬웨어 샘플은 두 가지인데, 이메일 주소나 파일 구성 등을 봤을 때 동일 인물이 개발한 것으로 보인다고 한다. 하지만 네트워크 통신 기능 중에서 차이가 나타났다. 즉, 한 인물이나 단체가 랜섬웨어를 개발하고 여러 가지 전략을 시험해보고 있을 가능성이 높다는 것이다. “한 샘플에는 트래픽을 검사하는 매개변수가 있었고 다른 한 곳에는 없었습니다. 감염이 성공했다는 걸 공격자에게 알리는 기능과 관련이 있어 보입니다.”

로디는 블로그를 통해 “아직 많은 것을 알 수 없다”며 “좀 더 많은 샘플이 확보되면 정확한 공격자의 정체나 의도 등을 알 수 있을 것”이라고 밝혔다. 그러면서 “아직까지 대단히 치명적이거나 독창적인 면모는 발견하지 못했다”고 덧붙이기도 했다.

“그래서 현재까지 알려진 기본 실천 사항으로서 PXJ에 대한 방어가 가능하다고 보입니다. 랜섬웨어는 현재 사이버 범죄자들 사이에서 가장 인기가 높고 무난한 수익 창구로서 인정받고 있는 멀웨어이자 사이버 공격 전략입니다. 따라서 앞으로도 새 변종은 계속해서 나올 것이고, 기존 강자들도 언제 다시 업그레이드 되어 나타날지 모릅니다. 그러니 이제 모든 조직의 사업 리스크 관리에 랜섬웨어 방어도 포함되어야 할 것입니다.”

3줄 요약
1. 새로운 랜섬웨어 PXJ가 나타남. 발견된 샘플은 2개.
2. 이중 암호화 구조가 눈에 띄긴 하나, 요즘 랜섬웨어들의 기본 기능.
3. 대단히 새로운 모습 없으나, 아직 분석을 더 해야 할 부분도 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)