보안전문기업 이스트시큐리티(대표 정상원)는 지난 15일 오후부터 ‘갠드크랩(GandCrab) 랜섬웨어 5.0.4’ 버전이 국내 사용자를 대상으로 급속히 확산되고 있다고 16일 밝혔다.
갠드크랩 랜섬웨어는 최근 국내에서 가장 활발하게 유포되고 있는 랜섬웨어 종류 중 하나다. 이번에 발견된 5.0.4 버전은 기업에서 가장 많이 사용하는 문서 작성 프로그램인 MS워드의 매크로 기능을 악용해 공격을 시도한다.
MS 워드에서 제공하는 매크로 기능은 문서 작성 중 반복적인 동작이 필요한 경우, 사전에 기록된 명령을 자동으로 실행해 문서 편집의 효율성을 높여주는 기능이다.
갠드크랩 5.0.4 버전은 악성 워드 문서 파일이 첨부된 이메일을 불특정 다수에게 발송하고, 사용자가 첨부된 파일을 열람 후 매크로 활성화를 허용하면 자동으로 랜섬웨어가 다운로드 및 설치되도록 하는 공격 방식을 사용한다.
이스트시큐리티는 이메일에 첨부된 악성 워드 문서 파일은 특정 개인 정보가 담긴 입사지원서를 사칭하고 있어, 업무상 지원서를 접수하고 열어본 경험이 있는 직장인들이 무심코 파일을 실행해 랜섬웨어에 감염될 가능성이 클 것으로 예상했다.
이스트시큐리티 시큐리티대응센터(ESRC)는 “이번 갠드크랩 5.0.4 버전은 2018년 11월 15일 오전에 한국어 기반의 환경에서 제작됐고, 제작된 악성 문서의 VBA 매크로 코드는 분석을 방해하기 위해 대부분 난독화되어 있는 상태”라고 밝혔다.
ESRC의 악성 파일 분석 결과, 첨부된 MS워드 문서를 실행하면 워드파일의 버전 차이로 내용 확인이 되지 않는다는 이유로 ‘콘텐츠 사용’, ‘편집 사용’ 버튼을 클릭하도록 유도하는 안내가 나타난다.
이는 MS워드의 보안 경고를 회피해 공격자가 사전에 설정해둔 매크로 기능이 실행되도록 유인하는 문구로, 만약 사용자가 ‘콘텐츠 사용’, ‘편집 사용’ 버튼을 클릭하면 그 즉시 갠드크랩 랜섬웨어가 PC가 설치되고 사용자 PC에 저장된 주요 파일을 암호화한다.
이후 공격자는 PC에 생성된 'CRRILRPP-DECRYPT.txt' 랜섬노트 파일 안내를 통해, 복호화(암호화 해제)를 위해서 토르(Tor) 브라우저로 특정 사이트에 접속할 것을 요구한다. 토르 브라우저는 일반적인 포털사이트에서 검색되지 않는 인터넷 공간인 ‘딥웹(Deep Web)’에 접속이 가능해 불법적인 목적으로 많이 사용되는 브라우저다.
공격자가 안내한 사이트에 접속하면 복호화를 대가로 암호화폐(가상화폐)인 대시(DASH)와 비트코인(Bitcoin)의 지불을 요구하는 화면이 나타난다.
관련기사
- 이스트시큐리티, 일일 보안동향분석 3개월 무료서비스2018.11.16
- 이스트시큐리티 "기업 보안 담당자에게 저녁을 돌려드리겠다"2018.11.16
- 이스트시큐리티 "3분기 랜섬웨어 공격 33만 건 차단"2018.11.16
- 이스트시큐리티 "알약, 2분기 랜섬웨어 공격 40만건 차단"2018.11.16
ESRC 문종현 센터장은 “이스트시큐리티는 기존 비너스락커 랜섬웨어 유포 조직이 이번 공격에도 가담한 것으로 판단하고 있으며, 상세한 위협 인텔리전 분석을 수행하고 있다”며 “한국 맞춤형 랜섬웨어 공격이 끊임없이 발생하고 있기 때문에, 주요 자료를 많이 다루는 기업과 기관은 반드시 자료를 분리 보관(백업)하고 임직원이 보안 수칙을 준수할 수 있도록 최선의 노력을 기울여야 한다”고 당부했다.
현재 이스트시큐리티는 갠드크랩 랜섬웨어 5.0.4 버전의 확산과 감염을 방지하기 위해 알약 긴급 업데이트를 완료했으며, 한국인터넷진흥원(KISA)과의 긴밀한 협력 체계를 유지해 악성 파일 유포 주소의 접근 차단 등을 완료했다고 밝혔다.