해커가 몸값두고 흥정까지...갠드크랩에 이어 크립트온 랜섬웨어 기승

해커가 몸값두고 흥정까지...갠드크랩에 이어 크립트온 랜섬웨어 기승

이력서 등으로 위장한 갠드크랩 랜섬웨어에 이어 가짜 도메인을 통해 유포되는 크립트온 랜섬웨어까지 기승을 부린다. 크립트온 랜섬웨어는 암호화한 파일을 두고 해커가 직접 몸값 협상을 벌이는 등 대담성까지 보인다.

16일 보안업계에 따르면 최근 크립트온(CryptON) 랜섬웨어 변종이 국내서 발견돼 주의가 요구된다. 크립트온 랜섬웨어 변종형태는 11일 해외에서 처음 발견 된 후 국내에는 15일 첫 피해사례가 접수됐다.

크립트온 랜섬웨어는 구글 지메일 계정(account-gmail.net)으로 위장한 도메인 등 웹 사이트 취약점을 통해 유포된다. 현재 국내서 발견된 지메일 계정을 도용한 웹사이트는 차단됐다.

크립트온 랜섬웨어 감염 시 'appdata' 폴더 아래 '사용자 계정' 이름으로 폴더를 만든다. 이후 '사용자계정_Body.exe' 이름의 악성코드를 생성한다.

크립트온 랜섬웨어 감염시 공격자가 암호화 파일을 두고 흥정을 벌이기도 한다. 이스트시큐리티 제공
<크립트온 랜섬웨어 감염시 공격자가 암호화 파일을 두고 흥정을 벌이기도 한다. 이스트시큐리티 제공>

공격자는 파일을 원래상태로 되돌리기 위해 복호화 툴 구매를 요구하며 이메일, 채팅 등이 가능한 접속 주소로 안내한다. 이스트시큐리티 관계자는 “실제 안내에 따라 채팅 시도 시 500달러 상당 이더리움 암호화폐를 요구하며 흥정도 가능하다”면서 “채팅에서 문의한 뒤 한참이 지난 후 답변이 오는 등 자동화가 아닌 사람이 직접 입력하는 것으로 보인다”고 설명했다.

최근 해커는 대상자를 분석해 이력서로 위장하거나 교통범칙금, 이미지 도용 항의메일 등 다양한 형태로 랜섬웨어 공격을 가한다. 올해 초 기승을 부린 매그니버 랜섬웨어 복호화 툴이 공개되자 복호화가 어려운 변종 형태 갠드크랩, 크립트온 랜섬웨어까지 공격방법도 다양해졌다.

게다가 이들 공격자는 대쉬(DASH), 비트코인, 이더리움 등 암호화폐를 몸값으로 요구해 자금 추적도 사실상 어렵다. 최근 이스트시큐리티 발표에 따르면 공개용 알약이 '랜섬웨어 행위기반 사전 차단 기능'을 통해 집계한 랜섬웨어 공격은 1분기에만 33만건을 돌파했다. 월 평균 11만 347건으로 하루 3678건에 달하는 공격이 발생한 셈이다.

체크멀 관계자는 “크립트온 랜섬웨어는 지난해부터 다양한 이름으로 유포됐으며 최근 복호화가 어려운 변종 형태로 유포된다”면서 “갠드크랩 등과 달리 한국어 등을 사용하지 않는 등 특정 국가를 타깃 삼지 않는 무차별 공격으로 사용자 주의가 요구된다”고 말했다.

정영일기자 jung01@etnews.com

위방향 화살표