포스팅 내용

이스트시큐리티 소식

‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중

‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중


안녕하세요.

통합 보안 기업 이스트시큐리티입니다.


▲ 특정 단체에서 공식 발송한 것으로 사칭한 비너스락커 이메일

 

국내 특정 단체의 공지로 위장된 이메일을 통해, 비너스락커(Venus Locker) 변종 랜섬웨어가 국내에 지속적으로 유포되고 있어 주의를 당부 드립니다.


이스트시큐리티 시큐리티대응센터는 “최근 수개월간 국내 기관과 기업을 집중적으로 겨냥한 비너스락커 변종 랜섬웨어 공격이 꾸준히 이어지고 있으며, 관련 피해 보고도 잇따르고 있는 상황이다”라며, “이러한 한국 맞춤형 비너스락커 랜섬웨어 공격은 올해 상반기 국내에서 보고되는 가장 큰 실존 보안 위협이 될 것으로 예상된다”고 설명했습니다.

 

특히 이번 사이버 공격자는 자신의 이메일로 랜섬웨어 피해자에게 한국어로 복구 절차, 비트코인 구매 방법 등을 친절히 설명해 주는 등 매우 적극적인 모습을 보여주고 있습니다. 이러한 한국어 안내는 한영 번역기를 활용한 것처럼 다소 어눌해 보일 수도 있지만, 공격자가 자신을 위장하기 위해 치밀하고 정교하게 위장한 수법입니다.


실제로 이번 랜섬웨어 공격자는 한국의 특정 연구소나 주요 기관 종사자를 대상으로 연말정산 안내, 내부 지침 사항 공지 등을 사칭해 메일을 보내거나 법무법인에는 법률 상담 문의 메일을 보내는 등 국내 기업과 기관의 특징을 정확히 파악해 맞춤형 공격을 가하고 있습니다.


또한 메일에 첨부한 랜섬웨어 악성 파일을 국내에서 널리 사용되는 압축 프로그램을 사용해 압축하고, 한글로 된 정교한 파일명을 사용하는 등 공격자가 한국의 문화와 언어를 깊숙이 이해하고 있다고 짐작할 수 있는 정황이 다수 포착되었습니다.

 

▲ 해커가 피해자에게 설명하는 이메일 화면 중 일부


한편 공격자는 자신의 신분을 숨기고 수사기관의 추적을 회피하기 위한 목적으로 다양한 국가에 기반을 둔 명령 제어(C&C) 서버를 이용하고 있습니다. 초기에는 러시아 소재의 서버를 사용했지만 최근에는 네덜란드, 루마니아 등 서버의 소재지를 변경시키고 있는 것으로 나타났습니다.


이 밖에 공격에 활용한 문서 파일 역시 한국어, 중국어, 폴란드어 등 다양한 국가의 언어를 사용해 작성된 것으로 확인되었습니다.


이스트시큐리티 김준섭 부사장은 “랜섬웨어가 사이버 공격자들의 주요 돈벌이 수단이 되면서, 공격 수법이 갈수록 지능화되고 있다”며, “특히 최근 며칠 간격으로 꾸준히 제작되어 유포되고 있는 한국 맞춤형 비너스락커 랜섬웨어는 실제 감염 피해 사례가 다수 보고되고 있기 때문에, 국내 기업과 기관 종사자는 이메일에 첨부된 파일을 실행하기 전 다시 한번 확인하는 주의를 기울여야 한다”고 당부했습니다.

 

현재 알약에서는 이번 피싱 공격에 사용된 악성 파일을 ‘Trojan.Ransom.VenusLocker’등의 이름으로 탐지 및 치료하고 있습니다.






  1. 다니엘 2017.02.24 10:56 신고  수정/삭제  댓글쓰기

    무슨 회의소 라면서 이런 메일을 받았는데 파일다운해 압축푸니 알약이 알려주더군요. 십년감수 했네요. 알약 회사 직원분들에게 감사하다는 말씀 전해드리고 싶습니다.

    • 알약(Alyac) 2017.02.24 13:48 신고  수정/삭제

      안녕하세요. 알약이 잘 잡아내서 정말 다행이네요! ^^ 향후에도 유사한 피해를 입지 않도록, 각별히 주의해주시길 당부 드리겠습니다. 댓글 주셔서 감사합니다!

티스토리 방명록 작성
name password homepage