2024-03-29 10:00 (금)
다크웹에서 거래되고 있는 RaaS랜섬웨어 ‘Satan’ 발견…주의
상태바
다크웹에서 거래되고 있는 RaaS랜섬웨어 ‘Satan’ 발견…주의
  • 페소아 기자
  • 승인 2017.01.23 14:32
이 기사를 공유합니다

Satan, 원격서버에 개인키 두고 있고 이용 가능한 무료 복호화툴 없어 치명적

dark.jpg
사용자에게 그들 자신의 코드와 몸값 요구를 맞출 수 있게 해주는 ‘서비스로서의 랜섬웨어(RasS)’가 다크웹에서 발견되었다.

랜섬웨어는 보안연구원과 일반 대중 모두에게 있어서 중요성이 증대되고 있는 문제이다. 랜섬웨어는 일반적인 악성코드의 스파이 활동, 감시 또는 브라우저 리다이렉션을 넘어서 진화해 더 많은 손상을 입힐 수 있게 되었다. 랜섬웨어는 시스템을 암호화시킨 후 복구를 위한 금전 지불을 요구한다.

2016년 랜섬웨어에 의한 피해규모는 약 10억 달러에 달하는 것으로 추정되고 있다. 그러나 공격으로 사용되는 랜섬웨어만 존재하는 것이 아니다. 반쯤 제작된 것을 사이버 공격자에게 제공한 후 추가 지불이 되면 완전한 랜섬웨어 제작을 할 수 있게 해주는 RaaS가 등장한 것이다.

이번주 보안연구원 Xylitol은 Gen:Trojan.Heur2.FU 제품군의 일부인 ‘Satan’ 악성코드가 RaaS 플랫폼의 일부로 일반에 나타났음을 확인했다. PC Risk의 보안권고문에 따르면, 피싱공격이나 악의적인 링크를 통해 일단 Satan에 감염되면 멀웨어는 파일들을 암호화시키고 .stn 확장자 파일을 배치한 후 바탕화면에 HTML 파일을 두어 희생자에게 다음 단계에 대한 지시를 한다. HTML파일에는 시스템이 암호화되었고 복구가 불가능하다는 내용이 담겨있다. 연구원들은 RSA-2048과 AES-256 암호화를 사용하기 때문에 이 단계에서 복구가 불가능하고 그들이 파일을 돌려받기를 원한다면 대가를 지불해야만 한다고 설명하고 있다.

랜섬웨어가 제공하는 지시사항은 희생자에게 토르 브라우저를 설치하도록 한 후 Satan의 지불페이지에 대한 링크인 .onion링크를 전달한다. 복호화를 위한 키를 받기 위해서는 비트코인을 지불해야 하는데, 지불해야 하는 금액은 전적으로 RaaS의 설정에 달려있다.

공격자가 Satan RaaS 플랫폼을 이용하려면 다크웹에서 호스팅되는 멀웨어의 도메인에 가입해야 한다. 그런 후 비트코인 지갑에 연결해 복호화를 위한 금액을 지정해야 한다. 사용자가 비용이 증가하기 전에 시간 프레임을 지정하는 것 역시 가능하다. 이후 공격자는 악성 실행파일을 다운로드해 피해자의 PC를 감염시킬 준비가 끝난다.

Satan 플랫폼은 지불 기록, 거래추적, 버전 릴리즈, 드로퍼 생성 등의 다양한 다른 기능들을 지니고 있다. 사용자는 또한 그들의 악성코드를 다른 언어로 번역할 수도 있다. 사용자들은 그들의 희생자에 관련된 "노트"를 만들어낼 수 있고, 게이트웨이 프록시를 설정하는 방법을 배우고, 물리적인 머신에서 그들의 멀웨어를 테스트하는 법에 대한 지침을 받을 수 있다.

마지막으로 Satan의 제작자는 사용자에게 그들의 멀웨어를 VirustTotal이나 다른 온라인 스캐너에 멀웨어를 업로드하지 말라고 경고하고 있다. 이는 업로드시 보안 연구원들에게 시스템 업데이트를 위한 코드 샘플을 제공하게 되기 때문이다.

RaaS의 개발자는 RaaS를 사용한 공격을 통한 수익의 30%를 자동으로 획득하게 된다. Satan의 가입페이지에는 아래와 같이 설명되어 있다.

"가장 중요한 부분: 피해자가 지불한 비트코인은 당신의 계좌에 입금되게 된다. 우리는 30%의 수입을 유지할 것이므로, 당신이 1BTC 의 지불금액을 지정하면 0.7BTC가 당신에게 입금되고 우리는 0.3BTC를 받게 될 것이다. 감염 및 지불 횟수에 따라 수수료는 낮아질 수 있다."

일부 랜섬웨어는 복호화 기능을 제작시 추가하지 못하거나, 연구원들이 복호화를 위한 키를 찾아낼 수 있어 복호화툴을 만들어낼 수 있었으나, Satan의 경우에는 원격서버에 개인키를 두고 있고 이용 가능한 무료 복호화툴이 없다. 사용가능한 무료 복호화 툴이 없기 때문에 감염되었을 경우에 대한 위협수준은 높지만, 다행스럽게도 아직 기록된 감염 및 노출빈도는 낮다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★