지방 경찰서 출석통지 안내메일로 위장한 랜섬웨어 공격 메일이 유포되고 있다. 2년전에도 국내에서 랜섬웨어 '비너스로커'를 유포했던 공격자 소행으로 파악되고 있다.
악성 메일은 미국 회사 구글의 G메일 서비스를 통해 발송됐다.
12일 이스트시큐리티 시큐리티대응센터(ESRC)는 공식블로그를 통해 "새로운 방식으로 갠드크랩(GandCrab) 랜섬웨어가 유포되고 있어 사용자들의 각별한 주의가 필요하다"고 밝혔다. [바로가기 ☞ [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중!]
ESRC 측은 지난 11일부터 지방 경찰서를 사칭한 악성 메일이 대량 유포되고 있다고 밝혔다. 메일은 '출석통지서.rar' 압축파일을 첨부하고 있다. 첨부 압축파일을 해제해 그 중 워드파일처럼 보이는 것을 실행하면 문서로 위장한 갠드크랩 v5.1 랜섬웨어가 동작하게 돼 있다.
유포방식이 바뀌었다. 앞선 사례는 압축파일에 악성 매크로를 품은 문서(.doc)나 이미지(.jpeg) 파일이 악성코드였고, 이를 실행하는 링크(.lnk) 파일이 함께 유포된 형태였다. 이번엔 "(파일명).doc (긴 공백).exe" 형태의 이름을 써서 문서파일로 위장한 실행파일(.exe)로 유포되고 있다.
이스트시큐리티 문종현 시큐리티대응센터장은 "악성메일 유포자 정보를 추적하면 최근 국내에 대량 유포되는 여러 형태 갠드크랩 랜섬웨어 유포자와 동일하다는 것을 확인할 수 있다"며 "이 공격자(혹은 조직)는 2017년 국내 비너스로커 유포자와 동일하다"고 설명했다.
앞서 국내 일부 지방 언론사에서 유사한 사례를 접해 보도한 상태다. 여러 지역별 경찰서를 사칭한 공격이 동시다발한 것으로 추정된다. 중부일보, 경기신문, 경인일보는 '수원남부경찰서' 사칭 메일을, 매일신문은 '대구달서경찰서' 사칭 메일을 각각 보도했다.
관련기사
- 안랩, 정보탈취+랜섬웨어 '비다르' 악성코드 경고2019.02.12
- "지난해 알약 차단 랜섬웨어공격 140만건"2019.02.12
- 연말정산 안내 메일로 위장한 악성코드 확산2019.02.12
- 입사지원서로 위장한 랜섬웨어 급속 확산2019.02.12
ESRC는 이례적으로 G메일 계정으로 된 랜섬웨어 공격자의 이메일 주소를 직접 공개했다. 블로그에 "이 계정을 이용하는 공격자(혹은 조직)는 끊임없이 다양한 방식을 통하여 국내에 갠드크랩 랜섬웨어를 유포하고 있으며, 이미 경찰을 사칭하여 랜섬웨어를 유포한 적도 있다"고 썼다.
문종현 센터장은 "현재도 랜섬웨어 유포가 실시간 진행되고 있어 (공식블로그의) 분석리포트 내용을 수시 업데이트하고 있다"면서 "과거 교통범칙금 인터넷납부 안내로 위장한 악성메일 유포 사건 때처럼 수사기관이 직접 수사에 나설 것으로 보인다"고 언급했다.