2024-03-28 23:50 (목)
SamSam 랜섬웨어 제작자, 2년 반동안 67억 이상 벌었다
상태바
SamSam 랜섬웨어 제작자, 2년 반동안 67억 이상 벌었다
  • 길민권 기자
  • 승인 2018.08.02 14:00
이 기사를 공유합니다

랜섬 지불 사이트, 다크웹으로 옮기고 코드 더 많이 난독화해 추적 회피

▲ 소포스 보고서 이미지
▲ 소포스 보고서 이미지
글로벌 보안기업 소포스 보고서에 따르면, SamSam 랜섬웨어 제작자들이 2015년 말부터 지금까지 벌어들인 랜섬머니가 약 590만 달러 이상인 것으로 조사됐다.

이번 소포스 보고서는 연구원들이 과거 공격들, 희생자와의 인터뷰 등으로부터 수집한 데이터들 및 어디선가 유출 된 SamSam 샘플의 공개/개인 소스 등을 바탕으로 작성 되었다.

또한 연구원들은 블록체인 및 가상화폐 모니터링 회사인 Neutrino와 협업해 SamSam 운영자들이 사용한 여러 비트코인 주소들 사이의 송금 및 관계를 추적해 이번 보고서를 공개했다.

비트코인 주소를 추적한 결과, SamSam 랜섬웨어에 감염돼 랜섬머니를 지불한 피해자는 최소 233명으로 나타났다. 이들 중 86명은 랜섬머니를 지불했다는 사실을 공개적으로 밝히며, 자신의 신상정보를 연구원들에게 공개했다.

피해자 86명의 데이터를 조사 결과, 피해자들 중 3/4가 미국에 있었으며 영국, 벨기에, 캐나다에서도 일부 피해자들이 발견 되었다.

랜섬머니를 지불한 피해자들 중 절반은 민간 회사였으며, 1/4는 의료기관, 13%는 정부 기관, 그리고 약 11%는 교육 기관으로 나타났다.

연구원들은 SamSam 랜섬노트에 사용 된 157개의 비트코인 주소에 입금이 된 것을 발견했으며, 이 주소들에 저장 된 금액은 약 590만 달러로 조사됐다.

또한 SamSam은 보통 하루에 한 명의 피해자를 만들며, 피해자들 4명 중 1명이 랜섬머니를 지불한다고 말했다.

한 피해자로부터 받은 랜섬머니는 약 6만4천달러로, 일반적인 랜섬머니가 200~1,000 달러로 책정되는 것에 비해 큰 금액이다.

▲ 소포스 보고서 자료.
▲ 소포스 보고서 자료.
랜섬머니가 이렇게 높게 측정 된 이유는 SamSam 그룹의 운영 방식 때문이다. SamSam은 2015년 말 처음 등장한 이후 다른 대부분의 랜섬웨어 위협들과 항상 차이를 보였다.

SamSam의 운영자들은 이메일 스팸, 익스플로잇 키트(멀버타이징), 가짜 소프트웨어 업데이트 등 절대 대량 배포 전략을 사용하지 않았다. 대신 JBoss 서버의 알려진 취약점들을 이용해 패치 되지 않은 JBoss를 사용하며 인터넷으로 접근이 가능한 회사들을 노렸다.

JBoss 소유주들이 서버를 패치하고 새로운 피해자들을 찾기 힘들어지자 그들은 인터넷에서 RDP 연결이 노출 된 네트워크를 찾기 시작했다. 이후 노출 된 엔드포인트에 브루트포싱 공격을 실행해 취약한 크리덴셜을 사용하는 장비를 찾으려 시도했다.

네트워크 내부로 침입하면 공격자들은 네트워크를 스캔하고 레이아웃을 매핑하고, PsExec과 같은 정식 툴을 이용해 그들의 접근 권한을 로컬 서버에서 다른 워크 스테이션으로 확장시키기 위한 시간을 충분히 가졌다.

이후 모든 PC 데이터를 암호화 하고 해당 회사에 랜섬노트를 표시해 감염 된 컴퓨터의 선택 된 일부분 또는 전체를 복호화하기 위한 금액을 지불할 수 있도록 했다.

또 소포스 연구원들은 SamSam 랜섬웨어 버전중 최소 3가지를 발견했으며, 보안 연구원들이 분석할 수 없도록 더욱 많은 보안 장치를 추가하고 있다고 말했다.

또한 시간이 지날수록 SamSam 운영자들의 행동은 더욱 조심스러워져, 랜섬 지불 사이트를 다크웹으로 옮기고 SamSam 코드를 더 많이 난독화했다.

지난 3년 동안 전 세계의 회사들을 공격해 왔기 때문에 법 집행 기관들과 보안 회사들은 SamSam의 제작자를 밝힐 수 있는 조그만 단서라도 찾기위해 노력하고 있다.

또한, 연구원들은 SamSam이 그룹으로 활동하지 않는 것으로 보인다고 밝혔다. 모든 랜섬노트와 랜섬 지불 포털에 사용 된 언어 및 기타 행동상 특색을 분석 결과, SamSam 랜섬웨어는 그룹이 아닌 한 개인이 운영하는 것으로 보인다고 말했다.

이번 소포스 SamSam 랜섬웨어 분석 보고서는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★