Locky라는 이름으로 알려진 새로운 랜섬웨어 변종(시만텍은 Trojan.Cryptolocker.AF로 탐지)이 지난 2월 16일, 화요일 처음 등장하자마자 무서운 속도로 확산되고 있습니다. Locky의 배후에 있는 공격자들은 대량 스팸 발송 작전 및 감염된 웹 사이트를 이용하는 매우 적극적인 방식으로 이 악성 코드를 유포시켰습니다.
Locky는 피해자 시스템의 파일을 암호화한 후 여기에 .locky라는 파일 확장자를 추가합니다. 그런 다음 0.5비트코인 ~ 1비트코인(약 210달러 ~ 420달러)을 지불할 것을 요구합니다.
대표적인 감염 경로 중 하나는 스팸 이메일 캠페인이었는데, 상당수가 청구서로 위장했으며, 악성 매크로를 포함한 Word 문서가 해당 이메일에 첨부되었습니다. 시만텍은 이러한 악성 코드 첨부 파일을 W97M.Downloader로 탐지합니다. 이 매크로의 실행을 허용하면 피해자의 시스템에 Locky가 설치됩니다.
시만텍 텔레메트리(telemetry)에 따르면 Locky는 지난 2월 16일에 적어도 5가지의 서로 다른 스팸 캠페인을 통해 유포되었습니다. 확인된 스팸 이메일 대부분은 “ATTN: Invoice J-[RANDOM NUMBERS]”라는 제목을 포함했습니다. 또 다른 캠페인은 제목에 “tracking documents”라는 문구를 사용했습니다.
Locky를 유포하는 스팸 캠페인은 대규모로 진행되고 있습니다. 시만텍 안티스팸 시스템은 2월 17일에 이러한 캠페인과 관련된 이메일을 5백만 개 이상 차단했습니다.
그림 1. Locky 유포에 사용된 스팸 이메일의 예
Dridex와의 유사점
이러한 스팸 캠페인은 Dridex 금융 사기 트로이 목마를 확산시킨 캠페인과 여러 면에서 비슷합니다. 캠페인의 규모뿐 아니라 청구서와 같은 재무 문서로 위장하고 Word 첨부 문서에 포함된 악성 매크로를 활용한다는 것도 Dridex 그룹의 대표적인 특징입니다. 그에 따라 Dridex 그룹이 랜섬웨어에 진출한 것이 아니냐는 관측도 나왔습니다.
두 공격의 유사점은 스팸 캠페인 외에도 더 있습니다. 각 보안 위협을 설치하는 데 이용된 악성 Word 매크로는 비슷한 난독화 수법을 비롯하여 표준과 다른 명명 규칙을 사용합니다. 게다가 둘 다 감염된 시스템에 “ladybi.exe”라는 파일을 생성합니다. 뿐만 아니라 아래와 같이 페이로드 다운로드 출처인 URL의 명명 체계도 동일합니다.
- http://[DOMAIN NAME]/[ RANDOM HEXADECIMAL VALUE]/[RANDOM HEXADECIMAL VALUE].exe
- http://[ DOMAIN NAME]/[ RANDOM HEXADECIMAL VALUE]/[RANDOM HEXADECIMAL VALUE]
그러나 현재로서는 두 공격이 동일 조직의 소행이라고 단정지을 만한 증거는 없습니다. 또한 두 보안 위협은 몇 가지 큰 차이점도 있습니다. 실제로 다운로드한 Locky 파일의 형태는 최근 Dridex 변종과 사뭇 다릅니다. 일반적으로 Dridex는 암호화된 .jpg 파일로 다운로드 되지만 Locky는 암호화되어 있지 않습니다.
시만텍은 Locky의 배포에 Neutrino 익스플로잇 킷이 사용되고 있다는 사실도 밝혀냈습니다. 하지만 Dridex는 지금까지 이러한 방식으로 유포된 적이 없습니다.
심각한 보안 위협
Locky는 여러 랜섬웨어 변종과 마찬가지로 강력한 암호화 기술을 사용하므로 피해자의 파일이 백업되지 않았다면 접근할 수 없는 상태가 됩니다. 그러나 시만텍은 공격자들이 풍부한 리소스를 갖춘 것으로 보이고 악성 코드를 매우 짧은 시간에 광범위하게 유포했다는 점에서 Locky가 특히 위험하다고 간주합니다. 따라서 정기적으로 보안 소프트웨어를 업데이트하지 않는 개인 사용자와 기업이라면 감염될 가능성이 높다고 볼 수 있습니다.
그림 2. Locky 금액 지불 메시지의 예
2016년 3월 14일 업데이트:
Locky가 계속해서 위세를 떨치고 있습니다. 시만텍 텔레메트리(telemetry)에 따르면 최근 몇 주 동안 랜섬웨어 공격이 증가했는데, 이 기간에 Locky(Trojan.Cryptolocker.AF)와 TeslaCrypt(Trojan.Cryptolocker.N) 모두 활발한 활동을 보였습니다. 2016년 1월 및 2월 초에는 매주 탐지되는 랜섬웨어 감염 건수가 10,000건 ~ 15,000건이었지만, 2월 16일에 Locky가 등장한 것과 때를 같이하여 증가하기 시작하면서 3월 8일까지 매주 2만 건 이상 탐지되고 있습니다.
그림 3. 2016년 주별 랜섬웨어 탐지 건수
Locky의 배후에 있는 공격자들은 여전히 대규모 스팸 캠페인을 통해 랜섬웨어를 유포하고 있습니다. 가장 최근에는 지난 금요일(2016년 3월 11일)에 이러한 스팸 공격이 발견되었는데, 이 공격은 수신자의 네트워크에 있는 주소에서 보낸 이메일로 위장했습니다. 확인된 모든 이메일의 제목은 “Scanned Image”였고 발신자 주소는 lands[RANDOM NUMBER]@[VICTIM DOMAIN], 이를테면 “lands371@[VICTIM DOMAIN].com” 또는 “lands4022@[VICTIM DOMAIN].co.uk” 형식이었습니다.
스캐너, 프린터 등 네트워크에 연결된 장치에서 보낸 것처럼 속이는 스팸 이메일이 자주 발견되지만, 지금까지는 스팸 이메일을 재무 제표, 특히 청구서로 위장하는 것이 가장 보편적인 수법입니다. 이 방식을 응용한 Locky 스팸 캠페인이 최근, 2016년 3월 9일에 발견되었습니다. 이메일의 제목은 “FW: Invoice 2016-M#[RANDOM SIX DIGIT NUMBER]”, 즉 “FW: Invoice 2016-M#708006” 등이었습니다. 이 캠페인에는 다양한 발신자 이름과 주소가 사용되었습니다. 대부분의 발신자 주소는 실제 기업에 등록된 도메인에서 보낸 것처럼 보이도록 스푸핑된 것이었습니다.
Locky 스팸 캠페인 발송의 조력자 중 하나는 Dridex 그룹에서도 이용하고 있습니다. 따라서 두 보안 위협을 유포하는 스팸 캠페인에 많은 공통점이 있습니다. Dridex 스팸 캠페인에 대한 자세한 내용은 시만텍 백서 Dridex: 위험한 금융 사기 트로이 목마를 유포하는 스팸 급증을 참조하십시오.
보호
이메일 기반 보안 위협을 차단하는 Symantec Email Security.cloud, 웹 기반 보안 위협을 차단하는 Symantec Web Security.cloud, Symantec Endpoint Security를 포함하는 종합적인 보호 스택을 통해 이러한 공격을 차단할 수 있습니다.
시만텍 및 노턴 제품은 아래와 같은 탐지 기술로 Locky를 차단합니다.
안티바이러스:
침입 차단 시스템
랜섬웨어로부터 자체적으로 보호하는 방법
- 시스템에 저장된 모든 파일을 정기적으로 백업하십시오. 시스템이 랜섬웨어에 감염되었다면 시스템에서 악성 코드를 제거한 후에 파일을 복원할 수 있습니다.
- 항상 보안 소프트웨어를 최신 버전으로 유지하여 새로운 악성 코드 변종을 차단하십시오.
- 운영 체제 및 기타 소프트웨어를 지속적으로 업데이트하십시오. 소프트웨어 업데이트에는 새롭게 발견되어 공격자에게 악용될 소지가 있는 보안 취약점에 대한 패치가 포함된 경우가 많습니다.
- 의심스러운 이메일을 받았다면, 특히 링크나 첨부 파일이 포함된 경우 삭제하십시오.
- 내용을 보려면 매크로를 사용하라는 메시지가 표시되는 Microsoft Office 이메일 첨부 파일은 특히 조심하십시오. 신뢰할 수 있는 출처에서 발송된 진짜 이메일이 분명한 경우가 아니라면 매크로를 사용하지 말고 즉시 이메일을 삭제하십시오.
추가 자료
랜섬웨어에 의한 보안 위협에 대해 자세히 알아보려면 시만텍 백서, 랜섬웨어의 진화를 참조하십시오.