보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 갠드크랩 랜섬웨어 이용하는 신규 공격자 등장 [전자신문 Etnews 3월 12일자_전자신문 20190313일자 본지 11면]
아이디 | admin
날  짜 | 2019-03-13
조  회 | 604

갠드크랩 랜섬웨어 이용하는 신규 공격자 등장


갠드크랩 랜섬웨어를 유포하는 새로운 조직의 악성메일 내용

<갠드크랩 랜섬웨어를 유포하는 새로운 조직의 악성메일 내용>

갠드크랩 램섬웨어를 이용하는 신규 공격 그룹이 포착됐다. 갠드그랩을 이용한 한국 표적 공격이 지속된다. 

이스트시큐리티(대표 정상원) 시큐리티대응센터(ESRC)에 따르면 국내 기업·기관 대상으로 갠드크랩 랜섬웨어를 지속 유포하는 새로운 공격조직이 등장했다. 이 공격자는 지난달부터 '경찰청 소환장' '한국은행 교육' '지마켓 할인쿠폰' '헌법재판소 소환장' 등을 사칭하며 갠드크랩 최신버전이 담긴 악성메일을 지속 유포한다. 

지난해부터 올해 초까지 국내 기업·기관이 악성메일로 입은 갠드크랩 랜섬웨어 피해는 동일 조직 소행으로 추정된다. 이른바 비너스락커 조직이라 불리는 공격자는 초기에 비너스락커 랜섬웨어를 유포했다. 이후 서비스형 랜섬웨어(RaaS)로 갠드크랩이 등장하자 이를 이용했다.

최근 갠드크랩을 이용하는 새로운 공격 조직이 탐지됐다. 이 조직은 한국어 표현이 부자연스럽고 공격수법도 기존과 차이를 보인다. 이스트시큐리티는 악성코드 분석내용과 명령제어(C2)서버 위치 등으로 미뤄 중국 또는 러시아 조직일 가능성을 제기한다.

최근 이 조직은 '헌법재판소 소환장'을 사칭한 악성메일을 유포했다. '출석요구서'라는 제목으로 첨부된 압축파일(rar)에 비밀번호를 걸어 보안 프로그램 탐지 회피를 시도했다. 압축을 해제하면 나오는 악성코드 실행파일(exe)은 문서파일(doc)처럼 아이콘과 파일명을 위장해 사용자를 속인다. 이번 공격은 개인 사용자보다는 국내 중소기업을 겨냥했다.

지난달 루마니아 보안업체 비트디펜더는 갠드크랩 5.1버전에 대한 복호화 도구를 개발해 무료 공개했다. 그러나 다크웹에서 활동하는 갠드크랩 랜섬웨어 개발자는 불과 수 시간 만에 새로운 5.2버전을 내놓았다. 국내를 집중 공격 중인 두 조직도 이달 들어 5.2버전을 악성메일에 담아 유포하고 있다. 

문종현 ESRC 센터장은 “여러 랜섬웨어 중 갠드크랩이 사이버범죄자 사이에 인기를 끄는 이유는 RaaS로서 빠른 대응과 업데이트를 지원하기 때문”이라며 “공격자는 갠드크랩과 같은 RaaS를 개발자로부터 구입해 유포한다. 이런 비용이 드는데도 국내를 노리는 공격자가 늘었다는 것은 그만큼 국내 랜섬웨어 피해가 여전히 많다는 의미로 해석된다”고 말했다.

이어 문 센터장은 “공격자는 사용자가 관심을 보일만한 주제로 열람을 유도한다. 최근 화제인 연예계 이슈 관련 내용을 다루는 악성메일도 조만간 유포될 가능성이 있어 주의가 요구된다”면서 “보안 프로그램을 설치해 항시 실행하고, 중요한 파일은 별도 저장소에 백업해두는 것을 권한다”고 덧붙였다. 

팽동현기자 paing@etnews.com 


목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 2694
596 안랩, 네트워크 고객 대상 '트러스트가드' 활용 교육 .. 관리자 2019-08-08 150
595 일본정부 韓 백색국가 제외에 보안·SW업계도 예의주시 [전자신.. 관리자 2019-08-08 175
594 김명준 ETRI 원장 "창의연구 활성화해 '국가지능화 종합연.. 관리자 2019-08-08 157
593 클라우드 해킹사고 누구 탓? 데이터관리 책임 공방 [전자신문 Et.. 관리자 2019-08-06 185
592 ISMS 미인증 대학 17곳, 내달 3000만원 과태료 [전자신문 Etnews.. 관리자 2019-07-22 276
591 대학 "과기정통부와 교육부 갈등으로 정보보호 이중규제받는 꼴".. 관리자 2019-07-22 247
590 아직도 윈도7 쓰고 계신가요 [전자신문 Etnews 7월 19일자] 관리자 2019-07-19 242
589 사이버 공격 시작은 '이메일'..."공격 차단 솔루션·.. 관리자 2019-07-19 243
588 송희경 의원 "북한 추정 해커 국회 대상 사이버 공격 자행"[전자.. 관리자 2019-07-04 324
587 '이메일 해킹 주의하세요'...만화로 보는 알기 쉬운 .. 관리자 2019-07-04 316
586 KISA, KT·LH·SH공사 IoT기기 '보안' 검증한다 [전.. 관리자 2019-06-07 483
585 이메일·오피스 문서이어 PDF파일까지 '사이버 공격' .. 관리자 2019-06-05 509
584 러시아어 사용 APT공격 '제브로시 그룹'...세계 상대.. 관리자 2019-06-05 477
583 데이비드 노이 베리타스 부사장 "멀티시스템 환경, 데이터 관리 .. 관리자 2019-06-04 438
582 랜섬웨어도 세대교체?...'갠드크랩' 배포 중단발표 [.. 관리자 2019-06-04 519
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265