비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.

과거 비너스락커(VenusLocker) 랜섬웨어를 뿌렸던 조직이 지난 11월 15일 입사지원서를 사칭해 갠드크랩(GandCrab) v5.0.4 랜섬웨어를 한국에 대량으로 유포하고 있는 내용을 공개한 바 있습니다.

동일한 조직이 지난 주말부터 한국에서 개발된 'Berryz WebShare (베리즈 웹쉐어)' 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하고 있어 각별한 주의가 요망됩니다.

[그림 1] 베리즈 웹쉐어 서버로 유포 중인 갠드크랩 랜섬웨어 화면

ESRC에서는 해당 위협조직이 지난 주 이미 해당 서버를 구축하고 있다는 사실을 확인해, 지속적으로 공격자를 추적 감시하고 있었습니다.

지난 주에는 'Mongoose Web Server (몽구스 웹 서버)' 기반으로 랜섬웨어를 유포하였는데, 17일 주말부터는 'Berryz WebShare(베리즈 웹쉐어)' 서버를 구축해 유포에 사용하고 있는 상태입니다.

[그림 2] 몽구스 웹 서버로 갠드크랩 랜섬웨어를 유포했던 화면

베리즈 웹쉐어에는 2개의 파일이 업로드되어 있으며, 파일명은 각각 '박혜윤_이력서(181119)열심히하겠습니다.exe', '이미지 무단사용관련 내용확인(박혜윤작가).exe' 다르게 등록되어 있습니다.

하지만 두개의 파일은 이름만 다른 동일한 갠드크랩 랜섬웨어입니다.

[그림 3] 이력서 등으로 위장하고, 워드파일로 위장한 갠드크랩 랜섬웨어 화면

비너스락커 랜섬웨어를 유포했던 위협조직들이 한국에 집중적으로 최신 랜섬웨어를 유포하고 있어, 각별한 주의가 필요한 상태입니다.

이용자가 해당 파일에 현혹되어 실행할 경우 컴퓨터에 보관되어 있던 문서, 동영상, 사진 등 대부분의 데이터가 암호화되어 사용이 불가능해 집니다.

[그림 4] 갠드크랩 v5.0.4 감염시 생성되는 랜섬노트 화면

해당 랜섬웨어에 감염되면 대부분의 데이터 파일이 암호화되고, 기존 확장자에 '.extsxcdshg' 내용이 추가될 수 있습니다. 그리고 다수의 경로에 랜섬노트 'EXTSXCDSHG-DECRYPT.txt' 파일이 생성됩니다.

ESRC에서는 19일 오전부터 다수의 랜섬웨어 행위차단 통계를 기반으로 갠드크랩 변종의 긴급 패턴 업데이트를 완료한 상태이고, 알약(ALYac) 랜섬웨어 행위기반 차단로직을 통해 감염 활동을 신속히 차단할 수 있는 상태입니다.

공격자는 이메일 첨부파일이나 본문 URL 링크를 통해 지속적으로 한국에 변종 랜섬웨어를 유포하고 있습니다.

유사한 위협이 앞으로도 지속될 것으로 전망되고 있으므로, 인터넷 이용자분들은 각별히 주의하시길 바랍니다.

※ 참고정보

▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중

▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!

▶ 비너스 락커! 이번에는 DOC 문서 취약점을 이용하여 유포 중

▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의

▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가

▶ 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요

▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의

▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염

▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!

▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중

▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중

▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!

▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!

▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!

▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요