텔레그램, 랜섬웨어의 새로운 채널로 사용되는 중

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

텔레그램은 보안이 강력한 것으로 알려진 메신저 서비스로 알려져 있습니다. 문자나 사진, 문서 등을 암호화해서 전송할 수 있고 대화 내용의 흔적이 남지 않는다는 컨셉으로 사생활을 중시하는 사람들 사이에서 인기를 끌고 있습니다.

그러나 Instalador 랜섬웨어, BlackRouter 랜섬웨어, GlobeImposter 랜섬웨어, CryptOn 랜섬웨어 등 암호화 완료 후 고객과의 서비스 채널(?)로 텔레그램를 이용하고 있고, 앞으로도 좋은 보안성으로 인해 랜섬웨어 제작자들이 사용할 것으로 보입니다.

랜섬웨어는 파일 암호화 완료 후 복호화를 위해 다양한 채널로 고객과 소통을 합니다. 하지만 주로 네트워크 우회와 익명성를 위해 사용되는 Tor 브라우저나 email을 사용하여 자신들에게 연락을 하도록 유도합니다.

[그림 1] 토르 브라우저 접속 화면

새로운 소통 창구로 등장한 텔레그램은 올해부터 사용이 늘어나기 시작하였습니다.

Instalador 랜섬웨어	2018/01/23 15:04:21 UTC
GlobeImposter 랜섬웨어	2018/01/24 10:25:13 UTC
BlackRouter 랜섬웨어	2018/04/13 05:55:26 UTC
CryptOn 랜섬웨어	2018/04/19 10:36:06 UTC

[표 1] 랜섬웨어 빌드 타임

[그림  2] Instalador 랜섬웨어 랜섬노트 화면

[그림 3] GlobeImposter 랜섬웨어 랜섬노트 화면

[그림 4] BlackRouter 랜섬웨어 랜섬노트 화면

 

[그림 5] CryptOn 랜섬웨어 랜섬노트 화면

   아래는 텔레그램을 이용하여 해커와 대화를 한 내용입니다. 즉각적으로 답변이 오고 영어를 잘 못하는 사용자들을 위해 다양한 언어의 챗봇을 준비한걸로 보입니다.

  

[그림 6] 텔레그램을 이용한 온라인 채팅 화면

텔레그램은 정상적인 서비스이므로 차단은 불가능합니다. 따라서 텔레그램과 협력하여 악의적으로 사용되는 그룹방은 차단이 필요한 것으로 보여집니다.

   랜섬웨어에 감염되지 않기 위해서는 예방이 중요합니다. 출처가 불명확한 이메일이나 URL은 실행하지 않아야 합니다. 또한 OS와 애플리케이션을 항상 최신 업데이트 버전으로 유지해야 하고, 중요 자료는 외부 매체에 저장하는 습관을 들여야 합니다. 

▶ 해커와 온라인 채팅이 가능(?)한 CryptON 랜섬웨어 국내 피해 보고

▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의

▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의

▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의

▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의

▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요