불특정 다수를 상대로 뿌려지는 것으로만 알려졌던 랜섬웨어가 이제는 취약한 특정 시스템만 노리는 형태로까지 진화했다.
시만텍은 레드햇 제이보스 엔터프라이즈 제품군을 사용하고 있는 기업들만 노리는 랜섬웨어인 일명 '삼삼(Samsam)'이 발견됐다며 주의를 당부했다.
새로운 랜섬웨어는 불특정 다수를 노리는 대신 가장 효과가 좋을 것으로 예상되는 특정 시스템만을 노리는 표적형 랜섬웨어 역할을 한다.
이전까지 이메일 첨부파일이나 보안에 취약한 웹사이트에 방문시 드라이브바이다운로드 등 공격 수법을 통해 랜섬웨어 감염을 시도했던 것과는 달리 최신 보안 패치가 되지 않은 특정 서버들을 공격대상으로 삼는다.
삼삼은 특히 자바를 기반으로 하는 오픈소스 미들웨어인 레드햇 제이보스 엔터프라이즈 제품을 운영 중인 서버 중 보안패치가 이뤄지지 않은 서버들을 찾아낸 뒤 젝스보스(Jexboss)와 같은 툴을 악용해 공격을 시도한다.
공격자들이 제이보스 취약점을 악용해 서버에 침투한 뒤에는 무료툴과 악성스크립트 등을 악용해 네트워크로 연결된 컴퓨터에서 자격증명(credentials)과 정보를 수집한다. 그 뒤 해당 시스템에 저장된 파일들을 암호화한 뒤 이를 풀어주는 대신 대가를 요구하는 것이다.
삼삼은 공격자들이 RSA 키쌍을 스스로 생성한다는 점에서도 다른 랜섬웨어들과 차별화된다. 일반적인 랜섬웨어가 공격자들이 명령을 내리는 C&C서버에 접속하고, 이 서버를 통해 감염된 컴퓨터의 파일을 암호화하기 위해 RSA 키쌍을 생성하고 공개키는 되돌려 보낸다. 반면 삼삼은 키쌍을 만들고, 공격 대상 컴퓨터에 공개키를 랜섬웨어와 함께 업로드 한다.
문제는 랜섬웨어가 성공적인 돈벌이 수단으로 주목받기 시작하면서 공격자들이 표적 공격에 가까운 수준으로 불특정 다수가 아닌 특정 시스템들을 공격대상으로 삼고있다는 점이다.
시만텍은 삼삼과 관련, 레드햇 제이보스 엔터프라이즈 제품을 사용하고 있는 기업들은 현재 패치가 되지 않은 버전을 사용하고 있는지 확인해, 즉시 최신 패치를 설치하라고 권고했다.
레드햇은 아래의 제이보스 제품 및 이후 버전들은 영향을 받지 않는다고 밝혔다.
관련기사
- 랜섬웨어, 서비스 대행사까지 등장2016.04.07
- 하우리, 랜섬웨어 '록키' 예방 프로그램 배포2016.04.07
- "랜섬웨어, 미리 준비해야 사고 막는다"2016.04.07
- 신종 랜섬웨어, 하드디스크-OS 먹통 만들어2016.04.07
시만텍코리아 제품기술본부 윤광택 상무는 "지금까지 랜섬웨어는 불특정 다수를 겨냥해 스팸 메일 등을 통해 무작위로 공격하는 형태였는데 삼삼 랜섬웨어는 한 차원 진화한 랜섬웨어의 공격 유형을 보여주고 있다"며 "앞으로는 특정 타깃을 겨냥한 표적 공격 형태의 랜섬웨어가 늘어날 것으로 예상되는 만큼 대비가 필요하다"고 말했다.