국내 사용자 타깃…2천400달러 상당 비트코인 요구, RaaS로 추정[아이뉴스24 김국배 기자] 국내 사용자를 노리는 신종 랜섬웨어가 잇따라 유포되고 있다.

최근에는 지난해 최악의 랜섬웨어로 지목됐던 갠드크랩과 유사한 또 다른 랜섬웨어가 발견됐다. 한동안 수그러드는 듯했던 랜섬웨어 위험이 다시 고조되는 모양새다.

27일 보안업체 안랩에 따르면 이번에 발견된 랜섬웨어는 기존 갠드크랩처럼 다양한 방식으로 유포되며, 감염 후 바탕화면을 '파란색'으로 바꾼다. 이 때문에 안랩은 신종 랜섬웨어를 '블루크랩'이라 명명했다.

오민택 안랩 분석팀 연구원은 "(갠드크랩과) 동일한 감염 경로에 악성코드만 교체됐다고 봐도 무방하다"라고 설명했다.

블루크랩 랜섬웨어 감염 화면 [사진=안랩]

공격자는 주로 악성 문서가 포함한 이메일, 유틸리티 프로그램 다운로드 페이지로 위장한 피싱 사이트 등을 이용 중이다. 공격에 성공할 경우 0.27489903비트코인(BTC)을 요구한다. 미화로는 2천400달러 수준이다.

안랩 분석 결과, 피싱 사이트를 통해 다운로드한 유틸리티 프로그램의 자바스크립트 파일(.js)이 실행되면 블루크랩 랜섬웨어가 동작한다. 이때 윈도 운영체제(OS)의 사용자 계정 컨트롤(UAC) 기능을 우회해 랜섬웨어가 동작할 때 알림창이 나타나지 않도록 한다.

특히 사용자PC에 안랩 백신 프로그램 'V3 라이트'가 설치된 경우 실행방식을 바꾸는 것이 눈에 띈다.

V3 라이트가 행위 기반 탐지 기법으로 UAC를 이용한 공격기법을 차단하기 때문이다. 이에 공격자는 V3 라이트가 설치된 PC에서는 UAC 알림창을 무려 100번이나 반복적으로 노출시키며 사용자가 '예'를 클릭하도록 유도했다. 다만 현재는 백신 프로그램에서 이런 행위를 차단한다.

'블루크랩' 랜섬웨어를 유포하는 자바스크립트 실행 흐름

아직 단정짓기 힘들지만 블루크랩 역시 갠드크랩과 마찬가지로 서비스형 랜섬웨어(RaaS)일 수 있다는 추정이 나온다. 갠드크랩이 유독 많이 배포된 배경에는 누구나 돈을 주고 살 수 있는 RaaS라는 점이 작용했다.

오 연구원은 "확실한 것은 알 수 없다"면서도 "갠드크랩과 동일한 방식으로 배포되고 있어 RaaS인 것으로 추정하고 있다"고 말했다.

랜섬웨어 공격은 수그러들지 않고 있다. 블루크랩뿐만 아니라 지난 13일에도 신종 랜섬웨어가 유포된 정황이 포착됐었다. 해당 랜섬웨어는 정상적인 윈도 시스템 파일(regsvr32.exe)을 통해 PC에 다운로드돼 사용자가 감염여부를 알아채기 어렵게 했다.

대부분의 랜섬웨어가 파일을 암호화한 뒤 파일명 뒤에 새로운 확장자를 추가하지만, 이 랜섬웨어는 'kname@protonmail.com'이라는 이메일 계정을 파일명 앞에 붙이고 '.kname'이라는 확장자를 추가한다.