GandCrab 랜섬웨어의 제작자, 백신 프로그램이 공개된 후 보복 시도해

GandCrab Ransomware Author Bitter After Security Vendor Releases Vaccine App

GandCrab 랜섬웨어의 제작자가 이 랜섬웨어에 대한 백신을 공개한 한국 보안 회사인 안랩에 보복을 시도한 것으로 보입니다.

GandCrab의 제작자는 Bleeping Computer측에 연락해 GandCrab의 다음 버전은 안랩 v3 라이트 안티바이러스의 제로데이를 포함할 것이라 밝혔습니다.

백신 프로그램에 대한 GandCrab의 보복

“Crabs”라는 예명을 사용한 GandCrab의 제작자는 지난 7월 19일 안랩이 GandCrab 랜섬웨어에 대한 백신 프로그램을 공개한 것에 대한 보복으로 안랩의 익스플로잇을 호스팅 하는 파일 스토리지 서비스로의 링크를 공개했습니다.

Crabs는 Bleeping Computer에 “백신사들이 개발한 킬스위치는 단 몇 시간만에 쓸모 없게 되었습니다.”라고 밝혔습니다. 실제로 Crabs는 안랩이 백신(킬 스위치) 프로그램을 공개한지 단 몇 시간 만에 새로운 랜섬웨어 버전을 공개했습니다.

Bleeping Computer는 이 익스플로잇을 받은 후 안랩에 공유했습니다.

새로운 GandCrab 버전인 4.2.1과 4.3에 안랩 익스플로잇 포함 돼

안랩에서 패치를 완료할 때 까지 이러한 사실을 공개할 생각은 없었지만, 안랩을 타겟으로 하는 익스플로잇 코드를 포함하고 있는 GandCrab4.2.1과 4.3을 발견해 상황이 바뀌게 되었습니다.

<출처: https://twitter.com/MarceloRivero/status/1024804912142659586/photo/1>

랜섬웨어 코드에는 다음과 같은 코멘트도 포함 되어 있었습니다.

"hey ahnlab, score - 1:1,"

익스플로잇은 동작하지만, 큰 피해는 없을 것으로 예상 돼

이 공격을 분석한 연구원들에 따르면, Crab이 원하는대로 일이 흘러가지는 않을 것으로 보입니다.

연구원들은 이 이슈를 안랩 안티바이러스의 컴포넌트들 중 하나를 충돌 시킬 수 있는 서비스 거부(DoS)로 확인했으며, 일부의 경우 블루스크린(BSOD)이 뜨도록 OS를 충돌시킬 수 있다고 밝혔습니다.

하지만 안랩은 이 이슈를 크게 걱정하지 않는 것으로 보입니다.

안랩의 연구원은 “GandCrab 4.2.1과 4.3 버전에 삽입 된 공격 코드는 일반 파일을 감염시킨 후에 실행 됩니다.” “우리 제품은 BSOD 공격 코드에 다다르기 전 GandCrab 랜섬웨어를 탐지합니다. 따라서, BSOD 공격 코드가 실행 될 확률은 매우 적습니다.”고 밝혔습니다.

안랩은 이 취약점을 수 주내에 패치할 것이라고 밝혔습니다.

“GandCrab의 제작자가 공개한 취약점을 패치하는 것은 그리 어렵지 않습니다. 하지만, 우리는 이러한 공격을 차단하기 위한 근본적인 문제를 해결하는데 더 많은 시간을 쏟기로 결정했습니다.”

안랩은 사용자들이 랜섬웨어가 안랩의 제품이나 OS를 손상시킬 것을 걱정하지 않기를 바라고 있습니다.

익스플로잇 코드가 안랩 안티바이러스를 손상시킬 때 쯤이면, 사용자의 파일은 이미 암호화 된 상태일 것입니다. 따라서, 사용자들은 랜섬웨어 감염을 예방하는데 더욱 신경써야 합니다.

올해 초, Bitdefender 측에서도 GandCrab 랜섬웨어용 복호화 툴을 공개한 적이 있습니다.

하지만, GandCrab의 제작자는 Bitdefender를 상대로는 어떠한 보복행위도 하지 않았습니다.

Crabs는 이와 관련해 “good work”라 칭찬하며 Bitdefender가 GandCrab의 C&C 서버들 중 하나에 접근해 암호화/복호화 키 쌍을 가져갔음을 인정했습니다.

출처 :

https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-author-bitter-after-security-vendor-releases-vaccine-app/