포스팅 내용

국내외 보안동향

러시아 해킹 커뮤니티에서 새로운 랜섬웨어(RaaS), GandCrab 발견

GandCrab, a new ransomware-as-a-service emerges from Russian crime underground


LMNTRIX 보안 연구원들은 GandCrab이라 불리는 새로운 랜섬웨어(RaaS)를 발견했습니다.


<이미지 출처 : http://securityaffairs.co/wordpress/68636/malware/gandcrab-raas.html>


공격자들은 RIG 및 GrandSoft EK를 이용해 해당 랜섬웨어를 유포하고 있는 것으로 확인되었습니다.


<이미지 출처 : http://securityaffairs.co/wordpress/68636/malware/gandcrab-raas.html>


해당 랜섬웨어 판매 정책은 다음과 같습니다.


- 구매자는 랜섬 수익을 6대 4로 나누는 ‘파트너 프로그램’ 조항에 동의해야 합니다.

- 대형 구매자는 수익의 70%까지 요구할 수 있습니다.

- 서비스형 랜섬웨어로서 구매자에게 기술지원과 업데이트를 제공합니다.

- 독립국가연합(러시아, 몰도바, 벨라루스, 아르메니아, 아제르바이잔, 우즈베키스탄, 카자흐스탄, 키르기스스탄, 타지키스탄, 우크라이나, 투르크메니스탄)을 공격하기 위한 용도로는 구매가 불가합니다. 이 정책을 위반하면 계정이 삭제됩니다.

- 랜섬웨어 사용에 동의해야 하며, 선착순으로 지원할 수 있습니다.


랜섬웨어 판매자들은 자신들이 제공하는 플랫폼에 대해서 랜섬 수익의 40%를 요구합니다. 대형 구매자의 경우 30%를 요구하기도 합니다.


이 랜섬웨어에 감염되면 피해자가 랜섬머니를 즉시 지불하지 않을 경우, 두 배의 랜섬머니를 지불해야합니다.


또한 피해자는 대시 코인 이용해 랜섬머니를 지불할 수 있으며, 해당 서비스는 .bit 도메인에 호스팅된 서버를 통해 제공됩니다.


랜섬웨어 제작자는 구매자들에게 기술 지원과 업데이트를 제공하고 있으며, 랜섬웨어를 이용해 공격을 수행할 때 백신 탐지를 피하는 방법도 영상을 통해 제공하고 있습니다.


또한 이 랜섬웨어는 토르 네트워크를 통해 접근할 수 있는 편리한 관리 콘솔을 사용합니다. 공격자는 필요에 맞게 랜섬머니 가격, 개인봇, 암호화 마스크 등을 변경할 수 있습니다.


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Gandcrab로 탐지중에 있습니다. 



출처 : 

http://securityaffairs.co/wordpress/68636/malware/gandcrab-raas.html

티스토리 방명록 작성
name password homepage