'의적'을 표방한 새로운 랜섬웨어 공격 캠페인이 포착됐다. 일정 수준 이상 수익을 내는 곳만 타깃으로 하며, 교육·의료 등 공공 인프라는 공격하지 않겠다고 밝힌 점이 눈길을 끈다.
미국 IT 매체 블리핑컴퓨터는 지난 10일부터 랜섬웨어 '다크사이드(DarkSide)'를 운영하는 해커가 사이버공격을 실시해 최소 한 곳 이상에서 100만 달러(약 12억원) 이상의 복호화 비용을 챙겼다고 보도했다.
보도에 따르면 다크사이드를 운영하는 해커는 자체적으로 준비한 보도자료를 발표했다. 이 보도자료에서 랜섬웨어 공격 대상 선정 기준을 밝혔다. "피해자의 비즈니스를 끝장내고 싶지 않기 때문에" 일정 수준의 복호화 비용을 지불할 수 있는 곳만 공격 대상으로 삼겠다는 것이다.
공격하지 않는 산업군도 선정했다. 의료, 교육, 비영리단체, 정부기관이다. 그러나 블리핑컴퓨터는 해커가 실제 이 기준을 지킬 것인지는 불분명하다고 봤다.
해커는 자신을 타 랜섬웨어 운영자와 협업해 수백만 달러의 수익을 거둔 전적이 있다고 소개했다. 그러면서 수요에 맞는 상품을 찾지 못해 직접 해킹에 사용할 랜섬웨어를 만들었다고 밝혔다.
다크사이드에 감염시키기 위해 해커는 표적 대상에 맞춰 악성 파일을 제작, 유포한다. 기기가 감염될 경우 네트워크로 연결된 다른 기기로 감염이 확산된다. 감염된 기기에 저장돼 있는 데이터는 해커에게로 전송된다. 해커는 피해자가 복호화 비용을 지불하지 않고 데이터를 백업하려 할 경우 직접 운영하는 사이트에 기기 데이터를 공개하겠다고 협박한다.
해커는 복호화 비용을 약 20만~200만 달러로 책정한다. 비용 수준은 피해 기업의 회계 결과를 분석해 책정된다는 설명도 덧붙였다. 다만 처음 제시된 기간 내에 결제하지 않을 경우 금액이 두 배로 뛴다. 피해자에게는 복호화 비용 지급을 위해 암호화폐 비트코인 또는 모네로 주소가 제공된다.
관련기사
- LG전자 데이터 유출..."기밀·개인정보 없어"2020.08.11
- 랜섬웨어 해커, '카르텔'까지 등장했다2020.06.05
- 코로나발 '원격' 유행, 랜섬웨어 해커도 따랐다2020.06.01
- 랜섬웨어 감염, 10건 중 7건은 야간·주말에 발생2020.03.17
다크사이드에 감염된 PC에서 원격접속 솔루션 '팀뷰어' 프로세스가 종료되지 않는다는 점도 주목받았다. 감염된 기기를 원격 제어하기 위해 팀뷰어를 악용한다는 것.
지난해부터 국내외에서 유포되고 있는 신종 랜섬웨어 '소디노키비'와의 연관점도 포착됐다. 랜섬노트의 형식이 동일하다는 점, 파워셸로 명령을 수행한다는 점, 독립국가연합(CIS) 내 대상을 공격하지 않는다는 점 등이 연관점으로 언급됐다.