러시아 블랙마켓에서 "말할 수 있는" CERBER 랜섬웨어 판매
CERBER: Crypto-ransomware that Speaks, Sold in Russian Underground
말할 수 있는 랜섬웨어가 등장하였습니다.
RANSOM_CERBER은 음성을 지원하는 랜섬웨어의 변종으로, 감염 PC의 컴퓨터에서 감염됬음을 알리는 경고 음성이 나옵니다.
일반적으로, 랜섬웨어는 사용자들에게 이미지로 감염 사실을 알리며, 결제할 수 있는 방식 및 파일을 복호화 시킬 수 있는 방법을 알려줍니다. 이 랜섬웨어는 이전에 발견되었었던 'REVETON'의 변종으로 보여지지만, REVETON 랜섬웨어와 다른점은 말하는 언어가 사용자 지역에 기반하고 있다는 것입니다.
연구원들에 따르면, CERBER은 영어만 할 수 있다고 합니다. 일단 사용자들이 Tor 브라우저를 통하여 접속하게 되면, 자동으로 사용자 언어를 선택하는 페이지로 리다이렉션 시킵니다. 하지만 재미있는 것은, 해커는 이 페이지를 만드는데 많은 노력을 기울였지만, 영문버전밖에 동작하지 않습니다.
CERBER 랜섬웨어는 감염된 사용자들에게 1.24 비트코인을 요구하고 있으며, 7일 이내에 지불하지 않으면, 랜섬머니는 2.48 비트코인으로 올라가게 됩니다.
CERBER은 .json 형식의 설정파일을 갖고 있는데, 이 파일에는 프로토콜, DB저장에 사용합니다. 이 문서를 분석해 본 결과, 이 랜섬웨어는 커스터 마이징이 가능하였습니다. 해커는 자신이 원하는 만큼 랜섬머니를 조절할 수 있으며, 문서의 확장자 리스트 뿐만 아니라, 감염 국가의 블랙리스트도 커스터마이징이 가능하였습니다.
이는 즉, CERBER은 실력이 다소 떨어지는 해커들을 위하여 설계된 것으로, 해커들의 요청에 따라 커스터마이징 서비스를 제공한 것으로 추정됩니다.
이 랜섬웨어는 현재 Nuclear 익스플로잇 킷에 포함되어 멀버타이징을 통하여 유포되고 있습니다. Nuclear 익스플로잇 킷은 Angler 익스플로잇 킷 다음으로 공격자들이 많이 사용하는 익스플로잇 킷 입니다.
현재 악성광고 서버는 접속이 불가능한 상태입니다.
러시아 블랙마켓에서는 RaaS 방식을 통하여 CERBER를 판매하고 있으며, 이 랜섬웨어는 커스터마이징이 가능한 만큼 곧 더 많은 CERBER 랜섬웨어가 기승을 부릴것으로 예상됩니다.
현재 알약에서는 해당 악성코드에 대하여 Trojan.Ransom.Cerber, Trojan.Agent.BQUH , Gen:Variant.Barys.52467로 탐지중에 있습니다.
출처 :
Mac 랜섬웨어인 KeRanger는 Linux.Encoder의 변종이었다! (0) | 2016.03.15 |
---|---|
CVE-2016-3115 : xauth command injection 취약점 발견! (0) | 2016.03.15 |
쉽게 루트에 접근할 수 있는 안드로이드 취약점 발견! (0) | 2016.03.09 |
윈도우 악성코드 만큼 복잡한 안드로이드 악성코드 Triada! (0) | 2016.03.04 |
가짜 Visa 카드 이벤트로 위장한 스팸, TeslaCrypt 랜섬웨어로 이어져 (0) | 2016.03.04 |
댓글 영역